CTF PWN选手避坑指南：BUUCTF栈题中那些意想不到的变量覆盖技巧（以ciscn_2019_n_1为例）

最新推荐文章于 2026-06-19 14:48:11 发布

原创

最新推荐文章于 2026-06-19 14:48:11 发布 · 608 阅读

标签

#CTF #PWN #BUUCTF #栈溢出

收录于

CTF PWN选手避坑指南：BUUCTF栈题中那些意想不到的变量覆盖技巧（以ciscn_2019_n_1为例）

1. 浮点数存储格式的隐秘陷阱

在传统的栈溢出利用中，我们往往关注如何覆盖返回地址或劫持控制流。但ciscn_2019_n_1这道题却展示了另一种精妙的攻击思路——通过精准覆盖相邻变量来绕过条件判断。这要求我们深入理解浮点数在内存中的存储机制。

IEEE 754标准规定单精度浮点数(32位)的存储格式为：

| 符号位(1bit) | 指数部分(8bit) | 尾数部分(23bit) |

以题目中的目标值11.28125为例：

十进制转二进制：11.28125 → 1011.01001
科学计数法：1.01101001 × 2³
符号位：0（正数）
指数部分：127 + 3 = 130 → 10000010
尾数部分：01101001000000000000000
最终16进制表示：0x41348000

内存布局验证表：

偏移量	变量名	类型	大小	关键性
-0x30	var_30	char数组	44字节	输入缓冲区
-0x4	var_4	float	4字节	条件判断变量

2. 非常规解法实战剖析

2.1 传统ROP思路的局限性

常规

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

leaf8

关注关注

13
点赞
踩
12

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

CTF PWN之精确覆盖变量数据

蚁景网安学院

03-17

1238

刚开始接触pwn的朋友在做pwn练习时可能会有这样的疑问，怎么做到精确覆盖变量数据呢？我们做pwn练习之前需要先知道：命令行参数C语言的main函数拥有两个参数，为int类型的argc参数，以及char**类型argv参数。其中argc参数的值表示命令行参数的个数，而argv则指向一个字符串数组，该数组存储了具体的命令行参数的内容。这里就用今天的实验，给大家介绍一下！本文涉及相关实验：《CTF PWN练习之精确覆盖变量数据》（在掌握大小端字节序表示法的基础上，通过精心构造的输入数据溢出缓冲区，实现对m

参与评论您还未登录，请先登录后发表或查看评论

pwn 练习笔记覆盖内存地址

SsMing的博客

09-02

1586

目录覆盖内存地址 protostar stack2 protostar format3 ssh copy文件报错覆盖内存地址根据ctfwiki学习小于机器字长的数字，因为之前覆盖的方法把地址放在最前面，所以覆盖后，最小值也是4，如果是小于4的数字可以把地址放在后面覆盖大数字，构造通用函数如下： def fmt(prev, word, index): ...

PWN练习之精确覆盖变量数据

WateranFire的博客

09-05

1386

做合天上这一节时，有一个汇编上关于main函数参数的问题。一般在进入函数后，首先执行push ebp;mov ebp,esp; 此时EBP指向的区域数据内容是这样的(从上到下由低位向高位) 原EBP （EBP指向此处）返回地址 argc argv 所以此后提到argc时，用[EBP+8]表示，提到argv

BUU CTF ciscn_2019_n_1

A_fish_like_sing的博客

03-20

2202

新手向对BUU CTF ciscn_2019_n_1该题的两种解法

详细讲解BUUCTF-ciscn_2019_n_1

2301_76794844的博客

06-15

1318

详细讲解BUUCTF-ciscn_2019_n_1

【BUUCTF-PWN】4-ciscn_2019_n_1

燕麦葡萄干的博客

07-04

819

这里为了堆栈平衡+1反而没办法打通，不+1反而可以成功，因此后面做题的时候加不加1都试一下。需要v1变量溢出到v2，然后给v2 11.28125的值。查看变量在栈中的位置：v1 0x30 v2 0x04。11.28125的十六进制值是0x41348000。checksec检查是64位，开启了NX保护。这里再试验第二种思路，溢出到变量2。后门函数的地址是0x4006BE。

BUUCTF pwn题exp整合

菜的只能随便写写博客

02-29

797

0x01 rip from pwn import* p = remote('node3.buuoj.cn',27511) payload = 'a'*23+p64(0x401198)+p64(0x401186) p.sendline(payload) p.interactive() 0x02 warmup_csaw_2016 from pwn import * #p = proces...

CISCN初赛五大方向实战指南：从Misc到Pwn的解题心法与避坑策略

weixin_34279184的博客

06-19

777

在网络安全与计算机技术领域，逆向工程、漏洞利用、密码学、信息隐写和流量分析是核心基础技能。其原理在于通过静态与动态分析、协议解析、算法逆向等手段，理解系统运行机制或数据保护方法。掌握这些技术对于提升安全攻防能力、进行软件调试与漏洞挖掘具有重要价值，广泛应用于CTF竞赛、渗透测试、恶意代码分析等场景。本文聚焦CISCN初赛，针对Misc、Re、Pwn、Web、Crypto五大方向，结合BUUCTF等平台经典题型，系统梳理了从文件识别、逆向分析到栈溢出利用的实战流程与工具链，并提供了针对“镜子里面的世界”等典型

[BUUCTF-pwn]——ciscn_2019_n_1

Y_peak的博客

01-31

1640

[BUUCTF-pwn]——ciscn_2019_n_1 [BUUCTF-pwn]——ciscn_2019_n_1思路一 —— 覆盖局部变量思路二 —— 覆盖返回地址题目地址：https://buuoj.cn/challenges#ciscn_2019_n_1 题目：老规矩下载下来后，在Linux上checksec一下，64位，并且没有开启栈保护，意味着我们可以利用栈溢出 在IDA中看一下，main函数里面没有什么可以利用的双击func函数看看，就是我们想要的。思路一 —— 覆盖局部变量

BUUCTF ciscn_2019_n_11 wp

AEJL叁的博客，欢迎关注！

09-14

1275

显示除了NX保护均未开启或完全启用，说明此题难度系数不高，而NX开启说明数据区域（如栈、堆）不可执行，是防止将 shellcode 写入数据区后跳转执行，所以可优先考虑不利用shellcode注入且简单直接的方式寻找漏洞。：在二进制安全、漏洞利用、逆向工程等领域，经常需要直接操作内存中的原始字节数据。例如，x86/x64 常用小端序，而网络传输通常规定使用大端序（网络字节序）。函数PLT（过程链接表）条目的地址是0x4006C8（PLT中的代码会通过GOT（全局偏移表）委托给动态链接器，由其解析。

初学pwn-BUUCTF(ciscn_2019_n_1)

天柱的博客

08-31

875

初学pwn-writeUp BUUCTF的第四道题，ciscn-2019_n_1。首先还是链接远端查看一下。这里提示让猜一个数字，然后他告诉我们，这个数字应该是11.28125。这就有点掩耳盗铃了呀，但是输入了11.28125，还是在说应该输入11.28125。可能是有点问题，ida打开查看一下。可以看到主函数里，调用了三个函数，前两个都是set某个值，我们直接看func函数。那这就很明显了，刚刚输入的值赋给了v1，但是这里是要让v2的值等于11.28125才可以。查看一下地址。嗯，跟想象

BUUCTF之Pwn三四题讲解与错误分析

taoyaozhuozhuo的博客

04-17

420

两道题目均属于基础的栈溢出漏洞利用。

科技招商精准靶向如何实现.docx

06-29

科易网基于40亿+科创知识图谱数据库，深度探索AI技术在技术转移、成果转化、技术经纪、知识产权、产业创新、科技招商等垂直领域的多样化应用场景，研究科技创新领域的AI+数智化解决方案，推动科技创新与产业创新智能化发展。

exness5exewebvnj

最新发布

06-29

exness5exewebvnj

科技成果转化为何资本望而却步风险分担怎么做.docx

06-29

【电力系统短期负荷预测】基于ELM、白鲸算法优化ELM、鹭鹰算法优化ELM极限学习机的电力系统短期负荷预测研究（Matlab代码实现）

06-29

内容概要：本文系统研究了电力系统短期负荷预测问题，提出并实现了基于极限学习机（ELM）及其智能优化改进模型的预测方法。研究涵盖标准ELM、白鲸优化算法（BWO）优化ELM和鹭鹰优化算法（IBOA）优化ELM三种模型，重点通过智能优化算法对ELM的输入权重与偏置参数进行全局寻优，有效克服了传统ELM因参数随机初始化导致的不稳定性和泛化能力不足的问题。文章完整呈现了从数据预处理、特征选择、模型构建、参数优化到预测结果对比分析的全流程，利用Matlab编程实现各模型的仿真验证，显著提升了预测精度与模型鲁棒性，为电力系统调度决策提供了可靠的技术支撑。; 适合人群：具备电力系统基础知识、时间序列预测理论及Matlab编程能力的高校研究生、科研机构研究人员以及电力公司从事负荷预测、电网调度与规划工作的技术人员。; 使用场景及目标：①应用于实际电力系统短期负荷预测业务中，提升电网运行调度的精细化与智能化水平；②作为智能优化算法与神经网络融合的经典案例，服务于学术论文撰写、科研项目申报及算法性能对比研究；③应对新能源大规模接入背景下负荷波动加剧的挑战，为构建高精度、强鲁棒性的现代负荷预测体系提供解决方案。; 阅读建议：建议读者结合所提供的Matlab代码进行动手实践，深入理解ELM网络结构与优化算法的集成机制，重点对比分析不同优化策略在收敛速度、预测误差（如MAE、RMSE、MAPE）等方面的性能差异，进而掌握智能优化技术在提升预测模型性能方面的关键作用。

成果转化数智化转型从哪里开始.docx

06-29

科技服务机构缺乏专业工具支撑怎么办.docx

06-29

stm32单片机项目资料课程设计文档C语言程序代码原理图电路PCB实例(高频电子线路)实验指导书

06-29

stm32单片机项目资料课程设计文档C语言程序代码原理图电路PCB实例《高频电子线路》实验指导书

易语言源码易语言批处理集成环境源码

06-29

易语言源码易语言批处理集成环境源码