BUUCTF Pwn ciscn_2019_n_1 1

原创

已于 2022-11-08 12:12:39 修改 · 482 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #python

于 2022-11-08 12:11:00 首次发布

记录BUUCTF的一道题，运行文件，提示我们输入一个数字，
说是必须是11.28125，但实际输入11.28125也不行

在这里插入图片描述
拖入IDA看看，

逻辑很简单，只要v2等于11.28125就能cat flag
但貌似v2我们并不能控制。
但实际上是可以的，

我们看到gets获取输入存到了v1，很明显的栈溢出
v1在rbp-30h的位置，v2在rbp-4h的位置，溢出以后我们就可以用自己的数据覆盖v2。

从ida可以看到v1长44，十六进制就是2C
也可以用0x30-0x4=2C

payload就是 2C个字长 + 11.28125

上代码

from pwn import *
p=remote("node4.buuoj.cn",25971)
pyload

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

不搞渗透的程序员不是好逆向工程师

关注关注

2
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

BUUCTF_PWN - ciscn_2019_n_1

weixin_46009088的博客

12-06

430

BUUCTF_PWN - ciscn_2019_n_1 查看程序保护模式和文件基本信息有个NX保护，如果要写shellcode有点麻烦，文件是64位小端程序（各条保护详情介绍请看胡写瞎写(1) pwntools常见命令) IDA载入 shift+F12寻找敏感字符串，发现一个cat /flag 查看该字符串的交叉引用: 查看该函数：很明显这是通过栈溢出覆盖v2的值变成11.28125 拿到 flag 我们发现gets()并且v2是在 rsp + 2Ch，那就是说只要输入超过44个字符便可以覆盖.

[BUUCTF]PWN------ciscn_2019_n_1

BangSen1的博客

01-16

435

ciscn_2019_n_1 例行检查，64bit，NX保护开启运行一下，没有信息 64位IDA打开，看到了cat flag ，跟进瞧瞧函数显示，当v2等于11.28125时，得到flag，但要求我们输入的是v1，所以我们只有把v1和v2 之间全部填满之后紧接着写入11.28125即可。我们可以看到这两个之间的大小为0x2C 再将11.28125转换为内存中的16进制，结果为 0x41348000 摘自 exp 得到FLAG ...

参与评论您还未登录，请先登录后发表或查看评论

[BUUCTF-pwn]——ciscn_2019_n_1

Y_peak的博客

01-31

1443

[BUUCTF-pwn]——ciscn_2019_n_1 [BUUCTF-pwn]——ciscn_2019_n_1思路一 —— 覆盖局部变量思路二 —— 覆盖返回地址题目地址：https://buuoj.cn/challenges#ciscn_2019_n_1 题目：老规矩下载下来后，在Linux上checksec一下，64位，并且没有开启栈保护，意味着我们可以利用栈溢出在IDA中看一下，main函数里面没有什么可以利用的双击func函数看看，就是我们想要的。思路一 —— 覆盖局部变量

【BUUCTF - PWN】ciscn_2019_n_1

古月浪子的博客

03-19

3660

checksec一下 IDA打开，发现如果满足的条件达成，就能get flag 找到栈溢出漏洞，输入可以覆盖到v2 写代码把11.28125在内存中的十六进制表示出来 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' ...

BUUCTF—ciscn_2019_n_1 1

qq_41560595的博客

09-24

4835

这道题是栈溢出题型，又不同于一般的栈溢出，在此做个总结。查看权限拖入IDA，F5可用函数解题思路：这道题的意思是输入字符串v1，判断v2。考虑输入长字符串覆盖到存储v2的内存空间，把v2的值改掉。因此，覆盖0x30-0x4=44个字节给v1，另外4个字节给v2 由于v2数值在内存中以16进制存储，所以，找到11.28125的16进制值。存在两个比较指令，双击进去。 0x41348000就是16进制的11.28125。编写脚本 from pwn import * p=remote('

BUUCTF PWN wp--ciscn_2019_n_1

2302_81740139的博客

08-25

466

得到gets缓冲区的范围大小。用垃圾数据填充v1（如上图箭头为0x30+0x8），溢出v2，覆盖到下方的system函数，转换到cat/flag的地址0x4006BE。第二步进入主函数，发现func，main函数调用了func，func中存在经典gets()漏洞，我们看到本题是v2数组在做比较。第一步 checksec，并检查该题的保护机制。第三步编写脚本。

【BUUCTF-PWN】4-ciscn_2019_n_1

燕麦葡萄干的博客

07-04

685

这里为了堆栈平衡+1反而没办法打通，不+1反而可以成功，因此后面做题的时候加不加1都试一下。需要v1变量溢出到v2，然后给v2 11.28125的值。查看变量在栈中的位置：v1 0x30 v2 0x04。11.28125的十六进制值是0x41348000。checksec检查是64位，开启了NX保护。这里再试验第二种思路，溢出到变量2。后门函数的地址是0x4006BE。

BUUCTF Pwn ciscn_2019_c_1 题解

qq_33348179的博客

12-01

469

2.接下来找libc的版本利用 libc地址 = 真实地址 - 偏移地址得到system和binsh的地址。其中，用两次recvline（）的原因是隔离掉 \n 和 ciphertext。puts_address的那一大串是用于接收地址去掉结尾的\0 并且将长度补到。SHIFT+F12查看字符串可以看到没有后门函数这是一道ret2libc题。同时因为这是64位程序，函数参数用寄存器存储且第一个是 RDI寄存器。1.首先，构造payload1，得到puts的真实地址。ret用于64位栈平衡。

buuctf--ciscn_2019_c_1

最新发布

2301_81060697的博客

02-20

832

获取libc库构造rop链

BUUCTF|PWN-ciscn_2019_n_1-WP

l2645470582_的博客

07-28

414

1、下载文件并开启靶机 2、在Linux系统中查看该文件信息 checksec ciscn_2019_n_1 3、文件查出来是64位文件，我们用64位IDA打开该文件 3.1、shift+f12查看关键字符串 3.2、双击关键字符串cat/flag，再按F5进入反编译代码区 3.3、cat/flag地址为 v1地址: r返回地址: 4、编译代码 #encoding=utf-8 from pwn imp...

[每日一PWN]BUUCTF ciscn_2019_n_1

qq_55233040的博客

11-21

668

这道题双解，一种ret2text，另一种就是单纯的覆盖数据改变判断结果。

[BUUCTF]PWN5——ciscn_2019_n_1

mcmuyanga的博客

08-25

2543

[BUUCTF]4——ciscn_2019_n_1 题目网址：https://buuoj.cn/challenges#ciscn_2019_n_1 步骤：例行检查，64位，开启了nx保护 nc一下看看输入点的字符串，看运行结果猜测是一个猜数的程序，而且需要我们猜的数应该是11.28125 输入11.28125，发现还是不对用64位ida打开，首先shift+f12查看程序里的字符串，发现了 “ cat /flag ” 双击跟进，ctrl+x找到调用这个字符串的函数我们可以看到第10行的if

BUUCTF pwn——ciscn_2019_n_1

CNS-Enterprise BCC-1701-J

03-11

414

BUUCTF 做题练习

PWN学习记录（4）BUUCTF-ciscn_2019_n_1

m0_58824086的博客

08-05

417

下载题目得到ciscn_2019_n_1，利用 file 命令查看该文件的类型，再通过checksec ./filename查看保护机制。将文件放入IDA中查看，打开字符串窗口。没有发现 /bin/sh，但找到了cat flag.txt。打开终端，输入vim 1.py 创建一个python文件（命名随意）NX enabled如果这个保护开启就是意味着栈中数据没有执行权限。将exp文件输入进1.py中，Esc+:wq保存并退出1.py。双击cat flag.text。打开main，F5反编译。

BUUCTF-PWN-ciscn_2019_n_1

m0_64180167的博客

04-13

441

我们可以使用栈溢出我们看看 v1函数的地址是30h 然后是64位的所以基地址是8字节。我们发现了system 然后get()函数。所以发现system的地址开始写exp。发现是64位的然后放入ida。我们开始查看 system的地址。发现 cat flag。

BUUCTF PWN ciscn_2019_n_1

m0_54262894的博客

09-10

196

拿到文件先checksec 仅开启了NX保护放入IDA中查看main函数很简单，没有什么明显漏洞发现了func函数，双击试试看可以看到只要v2等于11.25125就可以执行cat flag命令先把11.28125转为16进制，放着备用（0x41348000）我们的思路就是利用gets这个危险函数，通过覆盖v1的地址来修改v2的值，进而执行system命令，拿到flag。写脚本 frompwn impor...

[BUUCTF-pwn] ciscn_2019_ne_1

weixin_52640415的博客

01-08

319

2.27-i386 的堆很少见 4小时才完成，前边想得有点乱了。堆块的结构：总管理块0x31：10个块指针头块0x21：ptr_comment,ptr_name,XXX,XXX两个没用的东西 name块：大小自定不能太大,这个块由scanf %ns 读入，多加\0 这个很隐蔽，一时没发现浪费不少时间。 comment块：0x8c 这个块由read读入后边不带\0，将来用于泄露libc 还有个改名的菜单，转了好...

BUU刷题-Pwn-ciscn_2019_n_1

一个啥也不会的小菜鸡！

06-23

229

在rodate段，可以找到11.28125的十六进制表示形式为0x41348000h。要将V2变为11.28125，必须知道11.28125的十六进制表示形式。利用栈溢出覆盖v2改变其值，获得flag。[[双精度浮点数存储]]

BUUCTF ciscn_2019_n_1 1

qq_56313338的博客

09-10

445

可以通过溢出v2来覆盖v1的值从而获取flag首先v1是浮点数11.28125的二进制是0x413480。