ciscn_2019_n_1 ——两种解法

原创 已于 2022-07-13 13:46:26 修改 · 4.3k 阅读 · 8
标签
#PWN #linux
于 2022-07-13 13:46:12 首次发布
本文解析了一道CISCN_2019_n_1竞赛题目,涉及地址覆盖和利用system函数绕过漏洞的方法。讲解了如何利用溢出覆盖变量v2的值并执行system('cat/flag')。关键步骤包括确定溢出长度和构造payload。

ciscn_2019_n_1

题目分析

在这里插入图片描述
64位程序,栈不可执行,地址没有随机化
查看函数逻辑
在这里插入图片描述
在这里插入图片描述
main函数调用了func(),func中存在经典gets()漏洞,这题逻辑就是输入v1,但判断v2的值是否是11.28125

方法一:地址覆盖

既然题目判断v2的值,那么我们将v2的值覆盖成11.28125即可,首先我们要找到11.28125的16进制表达形式,因为我们构造payload的时不能传入一个float类型
可以直接使用ida查看
在这里插入图片描述
11.28125 = 0x41348000
那么只剩下该溢出多少这一个问题了
在这里插入图片描述
即溢出距离:0x30-0x4
exp1

from pwn
最低0.47元/天 解锁文章
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:https://blog.csdn.net/A951860555/article/details/111991072
【BUUCTF】ciscn_2019_n_1
2201_75556700的博客
11-29 520
4、看到调用了func函数,双击查看,用到了gets函数,存在栈溢出,这里需要判断v2的值等于11.28125,才会执行脚本。3、使用64位的ida分析,找到main函数,F5反汇编。题目二:【BUUCTF】ciscn_2019_n_1。v1数组大小:44字节(0x30-0x04)2、下载附件在kali中分析。
BUUCTF ciscn_2019_n_1
RookieMOR的博客
05-14 880
1.下载文件,用checksec一下: 2.用IDA64查看,进入func函数: 当v2=11.28125时获得flag,但只有v1的输入,没有v2输入。因为有一个gets函数,点击v1,v2可以知道,v1与v2差44个字节,可以通过输入v1的值去改变v2的值,实现栈溢出。 查看汇编可以看到有一个uconiss的比较指令,把xmm0与cs:dword_4007F4,由movss可以知道xmme0是v1或v2的值,那么点击dword_4007F4 看到一个 dd ,百度一下可以知道,.
【BUUCTF-PWN】4-ciscn_2019_n_1
燕麦葡萄干的博客
07-04 819
这里为了堆栈平衡+1反而没办法打通,不+1反而可以成功,因此后面做题的时候加不加1都试一下。需要v1变量溢出到v2,然后给v2 11.28125的值。查看变量在栈中的位置:v1 0x30 v2 0x04。11.28125的十六进制值是0x41348000。checksec检查是64位,开启了NX保护。这里再试验第二种思路,溢出到变量2。后门函数的地址是0x4006BE。
2021_09_15_ciscn_2019_n_1
m0_51187558的博客
09-15 3020
ciscn_2019_n_1 前言 每日一题pwn方向的第二题。也是初入漏洞利用的一道特别基础的题。 大家都应该尝试着做过了上一道,也就是test your nc。从解法来说其实那道题的难度真的只是半脚踩在入门的门坎上。就像wp中所说的那样,目前pwn题的核心是通过漏洞挖掘与利用来提权,而nc这道题可以说是不需要任何漏洞的挖掘与利用,做出这道题并不代表你已经入门pwn了。 虽然如此,从ciscn_2019_n_1这道题开始,我们真正要开始尝试迈过pwn题的那一道门槛,面对一些简单的漏洞进行利用了。 做题流程
【CTF】ciscn_2019_n_1pwn1_sctf_2016--栈溢出
网络安全从业者的学习笔记
04-14 825
BUUICTF的ciscn_2019_n_1pwn1_sctf_2016--栈溢出类型解题思路
新手也能搞定的PWN入门:手把手复现CISCN 2019华北赛题ciscn_2019_n_5(附三种解法
weixin_30902251的博客
05-03 320
本文详细解析了CISCN 2019华北赛题ciscn_2019_n_5的三种PWN解法,包括Shellcode直捣黄龙、无libc的ROP魔法和已知libc的精准打击。通过手把手教学,帮助新手理解PWN基础技术,掌握漏洞利用的核心思路和实战技巧,适合CTF初学者入门学习。
ciscn_2019_n_1 ——从栈溢出到系统命令执行的实战解析
weixin_29021195的博客
03-03 448
本文深入解析了CTF题目ciscn_2019_n_1,这是一个经典的栈溢出漏洞案例。文章详细介绍了如何利用危险的gets函数进行栈溢出,并提供了两种利用思路:一是通过精准覆盖变量v2的值来满足条件;二是直接劫持程序流程,覆盖返回地址以执行系统命令。通过静态分析工具IDA和动态调试,逐步拆解了漏洞原理与payload构造过程,是二进制安全入门的绝佳实践。
新手也能搞定的PWN入门:手把手复现CISCN 2019华北赛题ciscn_2019_n_5(附三种解法Python脚本)
最新发布
weixin_30268921的博客
05-05 292
本文详细解析了CISCN 2019华北赛题ciscn_2019_n_5的PWN入门实战,提供三种解法Python脚本,包括直接Shellcode注入、无libc的ROP利用和已知libc的ROP利用。适合新手从零开始学习栈溢出原理和利用技术,附带完整环境准备和调试技巧。
以题目:ciscn_2019_n_1来详细学习dbg和pwntools
WdIg-2023的博客
01-21 1755
我们在做Linux平台下的pwn题目的时候,调试是必不可少的一步,在调试的过程中找到漏洞并用pwntools写出攻击脚本。
ciscn_2019_n_1
weixin_56301399的博客
07-20 640
还是一道栈溢出的题,我们在那个可疑的函数里发现有两个变量,v1,v2,其中只有v1可以通过gets()函数输入,但我们的判断的条件是v2=??一个数,我们如和更改v2值呢,答案是通过v1的溢出来改变v2里的值。.........
[BUUCTF-pwn]——ciscn_2019_n_1
Y_peak的博客
01-31 1639
[BUUCTF-pwn]——ciscn_2019_n_1 [BUUCTF-pwn]——ciscn_2019_n_1思路一 —— 覆盖局部变量思路二 —— 覆盖返回地址 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_1 题目: 老规矩下载下来后,在Linux上checksec一下,64位,并且没有开启栈保护,意味着我们可以利用栈溢出 在IDA中看一下,main函数里面没有什么可以利用的 双击func函数看看,就是我们想要的。 思路一 —— 覆盖局部变量
ciscn_2019_n_1 1(栈溢出,变量覆盖)
Snk0xHeart的博客
04-07 931
开虚拟机,扔进去checksec64位,还是没有开栈保护扔进IDA(64位),找到main,F5反编译都点一下,感觉没啥东西然后我们点到func的时候我们看到了熟悉的gets函数还有system(“cat /flag”)这里,我们对这个程序进行栈溢出,在v1到v2间塞入字节数据,然后让v2=11.28125,我们就可以得到flag我们点进gets函数括号中的v1,v1对应的是var_30,v2对应var_4完整代码如下。
CTF buuoj pwn-----第4题:ciscn_2019_n_1
bing_Max的博客
08-29 854
CTF buuoj pwn-----第4题:ciscn_2019_n_1前言一. checkesc ,检测文件的保护机制二. 静态分析,IDA打开文件 前言 记录一下pwn的过程 同第1、2、3题一样,新手学习日记,流水线记录. 打开题目, 连接靶机,下载文件ciscn_2019_n_1 一. checkesc ,检测文件的保护机制 bing@bing-virtual-machine:~/pwn$ checksec ciscn_2019_n_1 [*] '/home/bing/pwn/cisc
BUUCTF|PWN-ciscn_2019_n_1-WP
l2645470582_的博客
07-28 487
1、下载文件并开启靶机 2、在Linux系统中查看该文件信息 checksec ciscn_2019_n_1 3、文件查出来是64位文件,我们用64位IDA打开该文件 3.1、shift+f12查看关键字符串 3.2、双击关键字符串cat/flag,再按F5进入反编译代码区 3.3、cat/flag地址为 v1地址: r返回地址: 4、编译代码 #encoding=utf-8 from pwn imp...
PWN学习记录(4)BUUCTF-ciscn_2019_n_1
m0_58824086的博客
08-05 483
下载题目得到ciscn_2019_n_1,利用 file 命令查看该文件的类型,再通过checksec ./filename查看保护机制。将文件放入IDA中查看,打开字符串窗口。没有发现 /bin/sh,但找到了cat flag.txt。打开终端,输入vim 1.py 创建一个python文件(命名随意)NX enabled如果这个保护开启就是意味着栈中数据没有执行权限。将exp文件输入进1.py中,Esc+:wq保存并退出1.py。双击cat flag.text。打开main,F5反编译。
三种方式搞定buuctf之ciscn_2019_n_1
weixin_54452942的博客
03-26 989
三种方法解ciscn_2019_n_1,简单易懂,走过路过不要错过
BUU CTF PWN ciscn_2019_n_1 WriteUp
m0sway的博客
02-28 385
BUU CTF PWNciscn_2019_n_1的WriteUp
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值