【CTF】ciscn_2019_n_1和pwn1_sctf_2016--栈溢出

已于 2024-04-14 01:01:15 修改
阅读量276 收藏
点赞数 2
分类专栏: 二进制漏洞挖掘 文章标签: 安全 开发语言 系统安全 安全架构 网络攻击模型
于 2024-04-14 00:09:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48201589/article/details/137729103
版权

ciscn_2019_n_1和pwn1_sctf_2016–栈溢出

ciscn_2019_n_1 解题思路

下载样本到本地 使用file和checksec查看文件内容,文件为64位ELF,只开启了NX保护,NX即No-eXecute(不可执行)

在这里插入图片描述

使用IDA进行反编译

在这里插入图片描述

在main函数中调用了func()函数,该函数中表示当v2==11.28125时,则显示flag。 此时,题目出现了两种解题思路:

  • 利用gets函数进行栈溢出,函数直接返回system(“cat /flag”);
  • 利用gets函数进行栈溢出,覆盖v2的值为11.28125

在这里插入图片描述

思路一:利用gets函数进行栈溢出,函数直接返回system(“cat /flag”);:

v1栈溢出为0x30+8

在这里插入图片描述

return system(“cat /flag”)的地址为00000000004006BE

在这里插入图片描述

编写POC

在这里插入图片描述

flag{72b01720-a239-4166-b914-5591cd8a88c6}

思路2:利用gets函数进行栈溢出,覆盖v2的值为11.28125:

v1距离v2为0x30-0x4

在这里插入图片描述

11.28125的十六进制表达式为0x41348000

在这里插入图片描述

编写POC

在这里插入图片描述

flag{72b01720-a239-4166-b914-5591cd8a88c6}

pwn1_sctf_2016 解题思路

下载样本到本地 使用file和checksec查看文件内容,文件为32位ELF,只开启了NX保护

在这里插入图片描述

使用个小技巧,使用strings命令查看文件中显示的flag字样

在这里插入图片描述

使用32位的IDA打开文件,F5编译一下,目标函数为get_flag

在这里插入图片描述

目标函数地址为0x08048F0D

在这里插入图片描述

查看main函数

在这里插入图片描述

进入vuln函数,其中fgets函数无法像gets函数一样,可以无限制输入进而导致栈溢出,但是后文中将输入的“I”转换为“you”,即输入20个“I”(20个字节)就会有20个“you”(60个字节–0x3C)被转换,进而导致栈溢出。

在这里插入图片描述

编写POC

在这里插入图片描述

flag{7223fc9b-b538-4c2b-bf4d-46ec5206797b}

Hello_Brian
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUCTFciscn_2019_n_1 1
qq_41560595的博客
09-24 4281
这道题是栈溢出题型,又不同于一般的栈溢出,在此做个总结。 查看权限 拖入IDA,F5可用函数 解题思路:这道题的意思是输入字符串v1,判断v2。考虑输入长字符串覆盖到存储v2的内存空间,把v2的值改掉。 因此,覆盖0x30-0x4=44个字节给v1,另外4个字节给v2 由于v2数值在内存中以16进制存储,所以,找到11.28125的16进制值。 存在两个比较指令,双击进去。 0x41348000就是16进制的11.28125。 编写脚本 from pwn import * p=remote('
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
[BUUCTF-PWN] ciscn_2019_n_1
m0_46098032的博客
01-04 257
下载文件,checksec看一下。 用IDA64打开文件,找到main函数,F5查看。 双击进去func函数。 输入的数传给v1,但是需要使v2=11.28125才能获得flag。我们查看一下v1和v2的栈信息。 因此我们可以利用gets先覆盖到v2的部分,再跟上11.28125的十六进制数即可成功获取flag。 11.28125的16进制为0x41348000。 exp如下: from pwn import * p = remote('node4.buuoj.cn',
ciscn_2019_n_1
weixin_56301399的博客
07-20 367
还是一道栈溢出的题,我们在那个可疑的函数里发现有两个变量,v1,v2,其中只有v1可以通过gets()函数输入,但我们的判断的条件是v2=??一个数,我们如和更改v2值呢,答案是通过v1的溢出来改变v2里的值。.........
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
2020-HackIM_ctf_hackim-ctfwriteup_
09-28
这是hackim-ctf的writeup
i-SOON_CTF_2019:2019第二届安洵杯过渡环境
03-09
i-SOON_CTF_2019 2019第二届安洵杯部分过渡环境/源码 收集分类为大型/大型CTF比赛赛题,提供容器化专属翻译环境。 如有争议,或转型问题请电联
CTF-Solyd_2019
02-11
CTF 2019 Solyd Resoluçãoda CTF de 2019 da
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:https://blog.csdn.net/A951860555/article/details/111991072
[BUUCTF-pwn]——ciscn_2019_n_1
Y_peak的博客
01-31 920
[BUUCTF-pwn]——ciscn_2019_n_1 [BUUCTF-pwn]——ciscn_2019_n_1思路一 —— 覆盖局部变量思路二 —— 覆盖返回地址 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_1 题目: 老规矩下载下来后,在Linux上checksec一下,64位,并且没有开启栈保护,意味着我们可以利用栈溢出 在IDA中看一下,main函数里面没有什么可以利用的 双击func函数看看,就是我们想要的。 思路一 —— 覆盖局部变量
[BUUCTF]PWN------ciscn_2019_n_1
BangSen1的博客
01-16 262
ciscn_2019_n_1 例行检查,64bit,NX保护开启 运行一下,没有信息 64位IDA打开,看到了cat flag ,跟进瞧瞧 函数显示 ,当v2等于11.28125时,得到flag,但要求 我们输入的是v1,所以我们只有把v1和v2 之间全部填满之后紧接着写入11.28125即可。 我们可以看到这两个之间的大小为0x2C 再将11.28125转换为内存中的16进制,结果为 0x41348000 摘自 exp 得到FLAG ...
BUU ciscn_2019_n_1
xieyichensss的博客
03-19 386
**BUUOJ ciscn_2019_n_1** (今天来晚了,嘿嘿,出去唱歌了,被淋成落汤鸡) 1.老规矩,将其checksec和file一下,发现NX保护被打开了,且是64为的ELF文件。 2.那就放入IDA64内分析,按fn+F5查看c的代码,发现一个func()的函数,双击进入 cat flag直接映入眼帘,我tm直接暗喜,有后门函数了诶,那就不慌了,直接看c的代码。 3.要想将后门函数覆盖到返回地址,那就必须要v2=11.28125,可是又没有v2的gets函数,我们...
[每日一PWN]BUUCTF ciscn_2019_n_1
qq_55233040的博客
11-21 415
这道题双解,一种ret2text,另一种就是单纯的覆盖数据改变判断结果。
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 586
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
pwn——ciscn_2019_n_1#pwn1_sctf_2016#jarvisoj_level0
LSYZWF的博客
10-26 558
文章目录ciscn_2019_n_1题目解答 ciscn_2019_n_1 题目 题目链接:https://buuoj.cn/challenges#ciscn_2019_n_1 解答 1、打开IDA进行分析 发现函数gets和系统命令cat 此函数的大致意思是输入v1的值,然后判断v2,故存在栈溢出使得v2的内存中的值为11.28125 2、判断偏移地址 v2的内存地址距离v1首地址的偏移量是30h-04h=2ch 3、gdb调试一波 没有堆栈溢出保护 4、编写脚本 11.28125的十六进制可以在I
ciscn_2019_c_1
最新发布
09-12
根据您提供的引用内容和,题目"ciscn_2019_c_1"是一个涉及到fastbin堆漏洞利用的题目。fastbin是一个堆区的数据结构,用于存储小于等于64字节的空闲块。这个题目的漏洞利用难度不大,适合初学者练习。 根据的代码分析,题目的主函数是"main"函数。它首先打印了一些欢迎信息,在一个无限循环中等待用户输入指令。根据用户输入的指令来执行相应的功能。当用户输入为1时,调用"encrypt"函数进行加密操作。当用户输入为2时,提示用户自己进行操作。当用户输入为3时,退出程序。其他输入会提示输入错误。 根据的代码分析,"encrypt"函数用于对用户输入的明文进行加密操作。在函数内部,首先定义了一个字符数组"s"用于存储用户输入的明文。然后使用gets函数获取用户输入,存在栈溢出的漏洞。接下来,对用户输入的明文进行加密操作。根据输入的字符的ASCII值的范围,使用不同的异或值进行加密。最后将加密后的密文打印出来。 综上所述,题目"ciscn_2019_c_1"是一个涉及fastbin堆漏洞利用的题目。在主函数中,根据用户输入的指令来执行相应的功能,包括调用"encrypt"函数进行加密操作。"encrypt"函数中存在栈溢出漏洞,并对用户输入的明文进行加密操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hello_Brian

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值