BUUCTF ciscn_2019_c_1(rop_x64,泄露libc)

最新推荐文章于 2023-10-08 16:40:06 发布
最新推荐文章于 2023-10-08 16:40:06 发布
阅读量5.9k 收藏 4
点赞数 3
分类专栏: ctf_pwn 文章标签: rop libc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qinying001/article/details/103266763
版权
本文详细介绍了在Ubuntu18环境下,针对一个64位ELF程序利用栈溢出漏洞进行ROP攻击的过程。由于系统机制变化,调用system需栈对齐。分析了程序流程和静态特性,指出加密函数中的漏洞,通过puts泄露libc版本并构造ROP链以获取shell。
摘要由CSDN通过智能技术生成

由于Ubuntu18运行机制与前面版本的不同,在调用system的时候需要进行栈对齐

0x1 检查文件

在这里插入图片描述

  • 64位elf
  • 无canary
  • 无PIE

0x02 流程分析

在这里插入图片描述
根据运行的流程,这个程序主要有两个功能,加密功能可以使用,但解密功能没办法使用,并且能够输入的地方就两个,一个选择程序,数字输入,第二个输入加密文本,字符串类型,之后的静态分析主要关注这两个地方。

0x02 静态分析

在这里插入图片描述
  经过分析,主要漏洞点在加密函数之中,可以看到输入s时没有经过边界检查,存在栈溢出漏洞,搜寻程序也没有可用的后门函数,需要自己泄露libc版本并构建ROP链。
  值得注意的是,函数里面有一个变量x,这个x代表这输入的数据是否需要加密,当我们输入字符串长度比原有x大的时候才会加密,加密函数很简单,只是一个异或操作,可以直接将语法改一下添加到exp里面。

0x04 思路分析

  由于程序没有可用的后门函数,但有puts这个函数,就可以通过构造rop泄露出libc的版本和函数地址,利用LibcSearcher或者DynELF可以查到libc的版本,之后获取libc里面的地址构造ROP链,获取shell。
  由于两次的payload长度是一样的,加密函数里面的x经过第一个payload之后,值已经改变,第二次payload输入是不会被加密的,可直接使用。

exp

from pwn import *
from LibcSearcher import *

def encrypt(string):
    newstr = list(string)
    for i in range(len(newstr)):
最低0.47元/天 解锁文章
影子019
关注
专栏目录
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4129
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
CTF-PWN-buuctf-ciscn_2019_c_1-ret2libc的典型使用
serfend's blog
04-15 2462
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1ENhfN3jAV0TAUKpEIeZ7zw?pwd=2n64 提取码:2n64 答案:flag{e8165d23-782e-47fd-9c16-0a002b1f08bd} 总体思路 发现加密位置,判断其溢出点 通过设置第一个字符为\0以让strlen返回0,从而避免payload被破坏 构造执行,溢出获取puts的地址,从而得到libc版本 再次溢出,执行获取sh
BUUCTF ciscn_2019_c_1
红叶的博客
10-30 826
RELRO 是一种用于加强对 Binary 数据段的保护的技术。由 CPU 提供支持,在页表中有Non-executable flag, 来限制一块内存区域不可执行。IDA Pro中查看的大小有时候可能是错误的,大部分时间以gdb动态调试为准。把加密后的文本复制到新建文本文档中,查询RBP的前4个字符。远程调试使用 libc 0 ,本地调试使用 libc 1。64位ELF,开启了部分RELRO以及NX。32位和64位程序在函数调用的方式存在区别。不止这种方法可以获取大小,还有两种方法。84 - 4 即可。
一个关于rop泄露libc的问题
m0_64195960的博客
07-08 169
题干是这样的,题目就在buuctf上就是利用read函数栈溢出,rop泄露libc,需要注意以下64位传参就可以了但是我有一个疑问就是,为什么红色箭头这里的recv必须要加,如果这里加的话,下一行的p.recv(6)不久没有东西接受了吗?有没有好心的师傅指导一下,谢谢!这是加了p.recv()这是没加......
BUUCTF-PWN】 ciscn_2019_c_1
qcwwww的博客
05-07 470
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 checksec一下 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除
Buuctf(PWN)ciscn_2019_c_1
半岛铁盒的博客
03-22 1364
一个普通的小程序,给了3个选项来供我们选择; 在main函数进行分析,发现输入 1 是正确的通道; 点进去下面的encrypt() 加密函数; 在这里发现了 gets()溢出函数; 我们可以利用这个函数漏洞来构建我们的payload; 紧接着下面 就会对 我们输入的payload 进行加密操作会破坏我们的payload; 我们需要避免这种情况; 看第14行有个 if ( v0 >= strlen(s) ); 当不满足条件时会退出 while 循环; 我们要借此利用这个 if ..
[BUUCTF]PWN6——ciscn_2019_c_1
mcmuyanga的博客
08-25 7582
[BUUCTF]PWN6——ciscn_2019_c_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_c_1 步骤: 例行检查,64位,开启了nx保护 nc一下,看看输入点的字符串,三个选项加密、解密、退出 用64位ida打开,先是shift+f12查看一下程序里的字符串 没有发现system函数和字符串“bin/sh”,先根据输入点的字符串查看一下主要函数 就像一开始说的程序的功能就是加密和解密,看伪代码可以知道,只有选1的时候才会调用encrypt()
BUUCTF-Pwn-ciscn_2019_c_1
餐桌上的猫
02-14 3662
题目截图 检查一下文件信息 开启了NX,64位的文件 使用IDA打开 按shift+F12查看字符串,没有找到“flag”和“/bin/sh”类似的字符串 一番寻找也没有找到system函数 查看函数导入表找到了puts函数和gets函数,说明使用了libc动态库,可以从这里入手 找到gets函数所在位置查看 在函数encrypt中使用了gets函数,存在栈溢出,点击encrypt函数的名称,按x检查交叉引用 双击进入查看调用函数 运行程序可以了解到,该程序的功能是对字符串进行加密和解密,这段代码
buuctf:ciscn_s_3题解
xia0ji233
05-27 738
title: 系统调用的学习 date: 2021-05-25 22:00:00 tags: binary security study report syscall comments: true categories: ctf pwn today新的知识又增长了,发现了getshell的另一种方式:syscall和srop。故事还要源于…(此处省略万字输出) (note:本作者这次有点懒,没有写AT&T汇编,而是一律用了intel汇编,请悉知) 可能是之前汇编基础不太好吧,竟没有发现sy.
pwn题堆利用的一些姿势 -- free_hook
lifanxin的博客
04-16 5199
free_hook概述初级必备姿势常规搭配姿势按需进阶姿势总结 pwn题堆利用的一些姿势 – malloc_hook 概述   在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的堆指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell
BUUCTF-PWN刷题记录-8
weixin_44145820的博客
04-16 937
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
buuctf PWN ciscn_2019_c_1
最新发布
wp568的博客
10-08 261
amd64的参数调用顺序是如下序列的自后而前,即:完成传递参数(地址)->本函数地址 -> 返回地址。encrypt()里面的get()可以溢出,栈大小为50h。puts()可以用来泄露libc基址。
buuctf pwn ciscn_2019_c_1
qq_58402603的博客
10-20 628
首先基本操作: 先对文件进行checksec和file查看 然后使用ida进行静态分析,找到main函数后按F5观察伪代码 发现是一个加密程序 然后按shift+F12进行字符串的查找,发现没有 /bin/sh字符串,因此我们只能利用libcsearch库中的system函数来完成此题,可以对puts函数进行地址泄露。 对主函数中调用的函数进行查看,可以发现encrypt函数中有gets()函数,可以在这里进行栈溢出攻击 双击s查看字符串s所分配的内存大小可以发现,一共占50...
[BUUCTF-pwn]——ciscn_2019_c_1
Y_peak的博客
02-07 1281
[BUUCTF-pwn]——ciscn_2019_c_1 题目地址:https://buuoj.cn/challenges#ciscn_2019_c_1 题目: 下载下来checksec一下 再IDA上面看一下,利用shift + f12看下字符串,发现没有我们想要的字符串。以为是ret2shellcode,结果弄了半天不可以。重新看一遍发现开启了NX保护,原来是ret2libc类型的,呜呜呜。 ...
2019.7.24 64位程序libc泄露 x64_3
DSR446的博客
08-17 634
1.这是程序,程序中没有system函数也没有/bin/sh字符串,但是函数中有read函数。我们有一下几种解法。①我们用LibcSearcher这个模块进行解题②打本地的时候,我们可以在gdb中,用vmmap指令来找到动态链接库的绝对路径,然后用elf = ELF(‘绝对路径’),来算偏移③我们也可以用ldd指令找到相对路径,然后拷贝到当前路径,然后用ipython,用elf = ELF(‘li...
ctf【ciscn_2019_c_1】
HUANGliang_的博客
10-29 337
ciscn_2019_c_1 ret2libc (1)由于存在 v0 >= strlen(s)的判断,而strlen是以s中\x00为判断依据判断s字符串长度,因此可以在s首部存入\x00避开加密程序 (2)找到execve("/bin/sh") 在libc中的偏移量后需要通过泄露puts地址来计算libc的基地址,puts的真实地址存在puts@got表中,函数在libc文件中。可以通过puts函数泄露puts的地址然后计算加载的libc文件的基地址,最后计算execve("/bin/sh")的实际地址
buuctf ---- ROP集合(未完)
L0g1c的博客
01-27 2746
buuctf ---------- babyrop1 NX栈不可执行开启 使用32位IDA查看程序 读取输入,进行字符串比较,不同则退出,相同则返回输入的第8个字节,可以通过输入 \0 绕过字符串比较 a1可以是255,造成buf溢出。 编写exp from pwn import * from LibcSearcher import * io=remote("node4.buuoj.cn",28966) elf=ELF("pwn") write_plt=elf.plt['write'] puts_
BUUCTF - PWN】baby_rop
古月浪子的博客
04-05 400
checksec一下,栈溢出 IDA打开看看,很明显的溢出点,/bin/sh字符串在程序里也有现成的,通过ROPgadget找到pop rdi命令即可将/bin/sh作为参数调用system from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_leve...
BUUCTF-PWN-inndy_rop
Rt1Text的博客
03-05 397
可以栈溢出,没有system函数,使用系统调用利用ROPgadget的功能直接利用程序中的片段拼凑rop链。
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值