PWN学习记录(4)BUUCTF-ciscn_2019_n_1

已于 2023-09-22 17:11:00 修改
阅读量221 收藏
点赞数 1
文章标签: 学习 ubuntu linux 网络安全
于 2023-08-05 15:32:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58824086/article/details/132120303
版权

在这里插入图片描述
参考链接:
BUUCTF—ciscn_2019_n_1 1_buuctf ciscn_2019_n_1 1_「已注销」的博客-CSDN博客
PWN的一些基础知识 | Savant’s Blog (lxscloud.top)

下载题目得到ciscn_2019_n_1,利用 file 命令查看该文件的类型,再通过checksec ./filename查看文件类型和保护机制

$ file ciscn_2019_n_1
$ checksec ./ciscn_2019_n_1

在这里插入图片描述
在这里插入图片描述

amd64-64-little,为64位小端存储,开启NX保护
NX enabled如果这个保护开启就是意味着栈中数据没有执行权限

运行ciscn_2019_n_1
在这里插入图片描述
将文件放入IDA中查看
打开main,F5反编译发现没有关键信息
在这里插入图片描述
打开字符串窗口。没有发现 /bin/sh,但找到了cat /flag
在这里插入图片描述
双击cat /flag
在这里插入图片描述
来自func
打开func
在这里插入图片描述
F5反编译成伪代码
发现gets这一危险函数
在这里插入图片描述

程序解释:
程序打印“Let’s guess the number.”
程序读取输入,存到v1变量
程序判断v2的值是否为11.28125,是的话就执行system(“cat /flag”)
剩下的略过

可以发现v2并没有要求输入,但是v1可以输入任意数量的字符,由于v1v2处于同一个栈,将v1输入一定数量的字符导致其溢出v1的位置,溢出值覆盖v2的值,使v2=11.28125即可得到flag

当v2=11.28125时,cat /flag,偏移量=0x30-0x4=十进制44
如下图,v1首地址与v2首地址相差44个字节
在这里插入图片描述

db 8 dup(?)
db:定义字节类型变量的伪指令
dup():重复定义圆括号中指定的初值,次数由前面的数值决定
?:只分配存储空间,不指定初值

思路:接受完”Let’s guess the number.”这一字符串,程序就发送44个a,(由于p64()函数中填入浮点数会报错)再发送11.28125的十六进制形式
在这里插入图片描述
ucomiss 浮点比较指令
ucomiss进行单精度浮点数比较cs:dword_4007F4和xmm0的值,cs:dword_4007F4就是11.28125的位置
双击dword_4007F4
在这里插入图片描述
0x41348000即为11.28125的十六进制值

编写exp,夺flag
打开终端,输入vim 1.py 创建一个python文件(命名随意)
将exp文件输入进1.py中,Esc+:wq保存并退出1.py
在这里插入图片描述
运行代码,得到flag,将得到的flag复制到题目的flag框中:
在这里插入图片描述

YunLie_zm
关注
BUUCTFciscn_2019_n_1 1
qq_41560595的博客
09-24 4498
这道题是栈溢出题型,又不同于一般的栈溢出,在此做个总结。 查看权限 拖入IDA,F5可用函数 解题思路:这道题的意思是输入字符串v1,判断v2。考虑输入长字符串覆盖到存储v2的内存空间,把v2的值改掉。 因此,覆盖0x30-0x4=44个字节给v1,另外4个字节给v2 由于v2数值在内存中以16进制存储,所以,找到11.28125的16进制值。 存在两个比较指令,双击进去。 0x41348000就是16进制的11.28125。 编写脚本 from pwn import * p=remote('
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 687
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
BUUCTF ciscn_2019_n_1
RookieMOR的博客
05-14 673
1.下载文件,用checksec一下: 2.用IDA64查看,进入func函数: 当v2=11.28125时获得flag,但只有v1的输入,没有v2输入。因为有一个gets函数,点击v1,v2可以知道,v1与v2差44个字节,可以通过输入v1的值去改变v2的值,实现栈溢出。 查看汇编可以看到有一个uconiss的比较指令,把xmm0与cs:dword_4007F4,由movss可以知道xmme0是v1或v2的值,那么点击dword_4007F4 看到一个 dd ,百度一下可以知道,.
BUUCTF_PWN - ciscn_2019_n_1
weixin_46009088的博客
12-06 361
BUUCTF_PWN - ciscn_2019_n_1 查看程序保护模式和文件基本信息 有个NX保护,如果要写shellcode有点麻烦,文件是64位小端程序(各条保护详情介绍请看胡写瞎写(1) pwntools常见命令) IDA载入 shift+F12寻找敏感字符串,发现一个cat /flag 查看该字符串的交叉引用: 查看该函数: 很明显这是通过栈溢出覆盖v2的值变成11.28125 拿到 flag 我们发现gets()并且v2是在 rsp + 2Ch,那就是说只要输入超过44个字符便可以覆盖.
BUUCTF - PWNciscn_2019_n_1
古月浪子的博客
03-19 3601
checksec一下 IDA打开,发现如果满足的条件达成,就能get flag 找到栈溢出漏洞,输入可以覆盖到v2 写代码把11.28125在内存中的十六进制表示出来 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' ...
[BUUCTF-pwn]——ciscn_2019_n_1
Y_peak的博客
01-31 1110
[BUUCTF-pwn]——ciscn_2019_n_1 [BUUCTF-pwn]——ciscn_2019_n_1思路一 —— 覆盖局部变量思路二 —— 覆盖返回地址 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_1 题目: 老规矩下载下来后,在Linux上checksec一下,64位,并且没有开启栈保护,意味着我们可以利用栈溢出 在IDA中看一下,main函数里面没有什么可以利用的 双击func函数看看,就是我们想要的。 思路一 —— 覆盖局部变量
BUUCTF-PWN刷题记录-5(Tcache)
weixin_44145820的博客
04-13 1503
目录ciscn_2019_final_3[V&N2020 公开赛]easyTHeap ciscn_2019_final_3 只有添加和删除两个功能 限制了申请的大小,最大为0x78,意味着chunk最大为0x80,添加完可以泄露堆上的地址 free之后没有置空,可以double free 题目分析差不多就这样,下面是漏洞利用: 先申请一个大小为0x78的heap[0],记录下返回地...
BUUCTF-PWN刷题记录-22
weixin_44145820的博客
05-18 729
目录ciscn_2019_n_2(double free) ciscn_2019_n_2(double free) delete的时候有一个double free漏洞 利用思路: 先用一个double free把0x602060(chunklist)申请出来,这样我们就能先修改里面的指针了,先利用GOT表泄露libc,然后写入__free_hook的地址并使用编辑写入system地址就行 Exp: from pwn import * menu = "Your choice: " def add(con
BUUCTF-PWN刷题记录-14
weixin_44145820的博客
04-29 823
目录sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这题原题目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这题应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
BUUCTF-PWN刷题记录-21
weixin_44145820的博客
05-15 722
目录wdb_2018_1st_babyheap(unlink, UAF) wdb_2018_1st_babyheap(unlink, UAF) add的大小固定为0x20 edit机会只有三次 指针悬挂 利用思路如下: 进行几次添加 add(0, (p64(0)+p64(0x31))*2) add(1, 'aaa\n') add(2, 'aaa\n') add(3, 'aaa\n') add(4, '/bin/sh\n') 删除0和1,再删除一次0,此时show(0)能泄露出heap的地址
[BUUCTF]PWN------ciscn_2019_n_1
BangSen1的博客
01-16 302
ciscn_2019_n_1 例行检查,64bit,NX保护开启 运行一下,没有信息 64位IDA打开,看到了cat flag ,跟进瞧瞧 函数显示 ,当v2等于11.28125时,得到flag,但要求 我们输入的是v1,所以我们只有把v1和v2 之间全部填满之后紧接着写入11.28125即可。 我们可以看到这两个之间的大小为0x2C 再将11.28125转换为内存中的16进制,结果为 0x41348000 摘自 exp 得到FLAG ...
BUUCTF-PWN-ciscn_2019_n_1
m0_64180167的博客
04-13 345
我们可以使用栈溢出 我们看看 v1函数的地址 是30h 然后是64位的 所以 基地址是8字节。我们发现了system 然后get()函数。所以发现system的地址 开始写exp。发现是64位的 然后 放入ida。我们开始查看 system的地址。发现 cat flag。
BUUCTF Pwn ciscn_2019_n_1 1
qq_45200829的博客
11-08 401
BUUCTF Pwn类型 ciscn_2019_n_1 1 解题过程
BUUCTF-ciscn_2019_n_1 (新手pwner的成长日记4)
最新发布
weixin_58410275的博客
04-27 631
NX不可执行,其余保护没有开启,shellcode方法不可用,不过没关系,这个题考点不在这里。
BUU ciscn_2019_n_1
xieyichensss的博客
03-19 416
**BUUOJ ciscn_2019_n_1** (今天来晚了,嘿嘿,出去唱歌了,被淋成落汤鸡) 1.老规矩,将其checksec和file一下,发现NX保护被打开了,且是64为的ELF文件。 2.那就放入IDA64内分析,按fn+F5查看c的代码,发现一个func()的函数,双击进入 cat flag直接映入眼帘,我tm直接暗喜,有后门函数了诶,那就不慌了,直接看c的代码。 3.要想将后门函数覆盖到返回地址,那就必须要v2=11.28125,可是又没有v2的gets函数,我们...
BUUCTF-PWN刷题记录25(IO file attack)
weixin_44145820的博客
08-14 1654
背景知识 在做关于IO FILE的攻击的时候,对其中涉及的数据结构的了解必不可少,以下是几个关键的数据结构 FILE 结构 定义在 libio.h 中,如下 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ strea
BUUCTF-PWN刷题记录-13(静态编译+去除调试符号)
weixin_44145820的博客
04-27 1457
目录[中关村2019]one_string(unlink) [中关村2019]one_string(unlink) 看这个保护,我以为很简单,然而··· 这题去除了所有符号,并且是静态编译,所以第一步就是把主要函数找出来,如下 在edit函数中,程序会重新计算content的长度,这个时候如果利用了chunk复用,下一个chunk的size也会被计算进长度,这样下次编辑的时候就能覆盖si...
[BUUCTF]PWN5——ciscn_2019_n_1
mcmuyanga的博客
08-25 1860
[BUUCTF]4——ciscn_2019_n_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_n_1 步骤: 例行检查,64位,开启了nx保护 nc一下看看输入点的字符串,看运行结果猜测是一个猜数的程序,而且需要我们猜的数应该是11.28125 输入11.28125,发现还是不对 用64位ida打开,首先shift+f12查看程序里的字符串,发现了 “ cat /flag ” 双击跟进,ctrl+x找到调用这个字符串的函数 我们可以看到第10行的if
BUUCTF|PWN-ciscn_2019_n_1-WP
l2645470582_的博客
07-28 309
1、下载文件并开启靶机 2、在Linux系统中查看该文件信息 checksec ciscn_2019_n_1 3、文件查出来是64位文件,我们用64位IDA打开该文件 3.1、shift+f12查看关键字符串 3.2、双击关键字符串cat/flag,再按F5进入反编译代码区 3.3、cat/flag地址为 v1地址: r返回地址: 4、编译代码 #encoding=utf-8 from pwn imp...
ciscn_2019_n_1
4pri1
07-24 148
这是做的第三个pwn题,前两个都是问nc怎么用的,进新手村了,完全不明白pwn,希望有师傅评论区斧正。 用了linux的远程调试,提示这些东西 这里本来从main函数入手的,但是f5反编译后不大行,看了几个师傅WP直接找的func函数 反编译得到右边的伪代码 这里是一个栈溢出,由危险函数gets造成,gets只有读到\n才会停止,否则就会一直向下读取 比如说:A本来只有几个字节的内存空间,但是没有停止读取,直至读取覆盖B的区域,导致B的值可控,虽然B没有读取的操作,但...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值