BUUCTF_PWN - ciscn_2019_n_1

最新推荐文章于 2025-03-20 16:34:12 发布
最新推荐文章于 2025-03-20 16:34:12 发布
阅读量404 收藏
点赞数
分类专栏: CTF # BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_46009088/article/details/110742463
版权

BUUCTF_PWN - ciscn_2019_n_1

查看程序保护模式和文件基本信息
在这里插入图片描述
有个NX保护,如果要写shellcode有点麻烦,文件是64位小端程序(各条保护详情介绍请看胡写瞎写(1) pwntools常见命令)

IDA载入

shift+F12寻找敏感字符串,发现一个cat /flag
在这里插入图片描述
查看该字符串的交叉引用:
在这里插入图片描述
查看该函数:
在这里插入图片描述很明显这是通过栈溢出覆盖v2的值变成11.28125 拿到 flag

我们发现gets()并且v2是在 rsp + 2Ch,那就是说只要输入超过44个字符便可以覆盖v2,

直接用工具计算浮点数的十六进制表达,(IEEE的计算方法请查看CSAPP,这里不做赘述)在这里插入图片描述
编写EXP

from pwn import *

p = remote('x',x)
payload = 'a' * 44 + p32(0x41348000)
p.sendline(payload)

p.interactive()
BUUCTFciscn_2019_n_1 1
qq_41560595的博客
09-24 4719
这道题是栈溢出题型,又不同于一般的栈溢出,在此做个总结。 查看权限 拖入IDA,F5可用函数 解题思路:这道题的意思是输入字符串v1,判断v2。考虑输入长字符串覆盖到存储v2的内存空间,把v2的值改掉。 因此,覆盖0x30-0x4=44个字节给v1,另外4个字节给v2 由于v2数值在内存中以16进制存储,所以,找到11.28125的16进制值。 存在两个比较指令,双击进去。 0x41348000就是16进制的11.28125。 编写脚本 from pwn import * p=remote('
[BUUCTF]-PWN:ciscn_2019_n_3解析
2301_79326813的博客
01-20 922
堆题,先看保护32位,Partial RELRO,没pie关键信息就那么多,看ida大致就是alloc创建堆块,free释放堆块,dump打印堆块内容但是仔细看这三个函数就可以发现在实际运行中,会先创建一个存有free相关函数的地址和打印堆块内容相关函数的地址。看delete函数并结合动态调试,可以知道释放堆块的过程实际上是调用先创造的12字节堆块的rec_str_free。那也就意味着无论那块地址存的是哪里的地址,我们在free堆块时他都会执行,并且题目给了我们system。
[BUUCTF-pwn]——ciscn_2019_n_1
Y_peak的博客
01-31 1273
[BUUCTF-pwn]——ciscn_2019_n_1 [BUUCTF-pwn]——ciscn_2019_n_1思路一 —— 覆盖局部变量思路二 —— 覆盖返回地址 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_1 题目: 老规矩下载下来后,在Linux上checksec一下,64位,并且没有开启栈保护,意味着我们可以利用栈溢出 在IDA中看一下,main函数里面没有什么可以利用的 双击func函数看看,就是我们想要的。 思路一 —— 覆盖局部变量
BUU CTF ciscn_2019_n_1
最新发布
A_fish_like_sing的博客
03-20 1967
新手向对BUU CTF ciscn_2019_n_1该题的两种解法
[BUUCTF]PWN5——ciscn_2019_n_1
mcmuyanga的博客
08-25 2232
[BUUCTF]4——ciscn_2019_n_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_n_1 步骤: 例行检查,64位,开启了nx保护 nc一下看看输入点的字符串,看运行结果猜测是一个猜数的程序,而且需要我们猜的数应该是11.28125 输入11.28125,发现还是不对 用64位ida打开,首先shift+f12查看程序里的字符串,发现了 “ cat /flag ” 双击跟进,ctrl+x找到调用这个字符串的函数 我们可以看到第10行的if
[每日一PWN]BUUCTF ciscn_2019_n_1
qq_55233040的博客
11-21 638
这道题双解,一种ret2text,另一种就是单纯的覆盖数据改变判断结果。
BUUCTF|PWN-ciscn_2019_n_1-WP
l2645470582_的博客
07-28 365
1、下载文件并开启靶机 2、在Linux系统中查看该文件信息 checksec ciscn_2019_n_1 3、文件查出来是64位文件,我们用64位IDA打开该文件 3.1、shift+f12查看关键字符串 3.2、双击关键字符串cat/flag,再按F5进入反编译代码区 3.3、cat/flag地址为 v1地址: r返回地址: 4、编译代码 #encoding=utf-8 from pwn imp...
BUUCTF - PWNciscn_2019_c_1
古月浪子的博客
03-20 4230
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
CTF-PWN-buuctf-ciscn_2019_c_1-ret2libc的典型使用
serfend's blog
04-15 2530
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1ENhfN3jAV0TAUKpEIeZ7zw?pwd=2n64 提取码:2n64 答案:flag{e8165d23-782e-47fd-9c16-0a002b1f08bd} 总体思路 发现加密位置,判断其溢出点 通过设置第一个字符为\0以让strlen返回0,从而避免payload被破坏 构造执行,溢出获取puts的地址,从而得到libc版本 再次溢出,执行获取sh
BUUCTF ciscn_2019_c_1 题解
qq_51802916的博客
08-20 491
这个地方还会涉及到堆栈对齐的问题,有时候POC都构造正确了,但是运行时仍然报段错误,可能就是堆栈没有对齐,这是我们可以加入一条ret指令,改变一下堆栈,例如假如rsp指向了0xff88,这是一个没有对齐的地址,增加ret后就会变成0xff90,这个一个已经对齐的地址,可以正常运行。,这里显然可以进行缓冲区溢出利用,中间的部分是对字符串进行处理,我们不需要看得太仔细,因为可以通过传入\x00字符使循环提前终止,这样就不会影响我们的payload的了。的装载地址和shell字符串的装载地址,然后构造POC了。
BUUCTF pwn ciscn_2019_s_3(SROP)
菜的只能随便写写博客
02-13 1679
0x01 文件分析   0x02 运行  有一个回显,并且还有多余的字符显示,接着看代码分析一下。   0x03 IDA源码  由后面的函数可以看出,这个程序使用的系统调用,并且vuln里面存在栈溢出。  在程序之中的gadgets存在着两个为rax赋值的gadget,15的系统号是rt_sigreturn,3b的系统调用是execve,利用这两个可以执行系统调用得到shell。  ex...
BUUCTF-PWN】4-ciscn_2019_n_1
燕麦葡萄干的博客
07-04 603
这里为了堆栈平衡+1反而没办法打通,不+1反而可以成功,因此后面做题的时候加不加1都试一下。需要v1变量溢出到v2,然后给v2 11.28125的值。查看变量在栈中的位置:v1 0x30 v2 0x04。11.28125的十六进制值是0x41348000。checksec检查是64位,开启了NX保护。这里再试验第二种思路,溢出到变量2。后门函数的地址是0x4006BE。
BUUCTF pwn——ciscn_2019_n_1
CNS-Enterprise BCC-1701-J
03-11 389
BUUCTF 做题练习
BUUCTF-PWN-ciscn_2019_n_1
m0_64180167的博客
04-13 400
我们可以使用栈溢出 我们看看 v1函数的地址 是30h 然后是64位的 所以 基地址是8字节。我们发现了system 然后get()函数。所以发现system的地址 开始写exp。发现是64位的 然后 放入ida。我们开始查看 system的地址。发现 cat flag。
BUUCTF Pwn ciscn_2019_n_1 1
qq_45200829的博客
11-08 452
BUUCTF Pwn类型 ciscn_2019_n_1 1 解题过程
BUUCTF - PWNciscn_2019_n_1
古月浪子的博客
03-19 3646
checksec一下 IDA打开,发现如果满足的条件达成,就能get flag 找到栈溢出漏洞,输入可以覆盖到v2 写代码把11.28125在内存中的十六进制表示出来 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' ...
BUUCTF ciscn_2019_n_1
RookieMOR的博客
05-14 746
1.下载文件,用checksec一下: 2.用IDA64查看,进入func函数: 当v2=11.28125时获得flag,但只有v1的输入,没有v2输入。因为有一个gets函数,点击v1,v2可以知道,v1与v2差44个字节,可以通过输入v1的值去改变v2的值,实现栈溢出。 查看汇编可以看到有一个uconiss的比较指令,把xmm0与cs:dword_4007F4,由movss可以知道xmme0是v1或v2的值,那么点击dword_4007F4 看到一个 dd ,百度一下可以知道,.
PWN学习记录(4)BUUCTF-ciscn_2019_n_1
m0_58824086的博客
08-05 371
下载题目得到ciscn_2019_n_1,利用 file 命令查看该文件的类型,再通过checksec ./filename查看保护机制。将文件放入IDA中查看,打开字符串窗口。没有发现 /bin/sh,但找到了cat flag.txt。打开终端,输入vim 1.py 创建一个python文件(命名随意)NX enabled如果这个保护开启就是意味着栈中数据没有执行权限。将exp文件输入进1.py中,Esc+:wq保存并退出1.py。双击cat flag.text。打开main,F5反编译。
BUUCTF PWN ciscn_2019_n_1
m0_54262894的博客
09-10 174
拿到文件先checksec 仅开启了NX保护 放入IDA中 查看main函数很简单,没有什么明显漏洞 发现了func函数,双击试试看 可以看到只要v2等于11.25125就可以执行cat flag命令 先把11.28125转为16进制,放着备用(0x41348000) 我们的思路就是利用gets这个危险函数,通过覆盖v1的地址来修改v2的值,进而执行system命令,拿到flag。 写脚本 frompwn impor...
详解your_pwnciscn 2019中的信息安全竞赛
本次提到的“your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛”是指在中国信息安全竞赛(China Information Security Competition,简称CISCN)中,专为参赛者准备的二进制漏洞利用(Pwn)类赛题。 ### 标题...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值