BUUCTF 刷题 ciscn_2019_en_21

64位程序栈溢出攻破与ROP利用:逆向加密与ret2libc实践
最新推荐文章于 2024-07-15 14:39:10 发布
原创 最新推荐文章于 2024-07-15 14:39:10 发布 · 744 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #python #linux #ubuntu #经验分享

作者详细解析了一个CISCN_2019_en_2挑战中的64位程序,涉及栈溢出、加密函数破解、 strlen利用及ROP技术。通过ret2libc找到puts地址并进行栈溢出攻击,最终实现程序控制。

题目地址:https://buuoj.cn/challenges#ciscn_2019_en_2

这道题本小白已经做了无数次了,但是每次都不是完全理解,这次回去又学了点基础的知识,算是最大彻大悟的一次了。

首先checksec,64位程序开了NX保护

[*] '/home/ssy/ctf/buuctf/ciscn_2019_en_2/cis'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

然后我拖入ida并且只会f5,发现这三个函数是最有用的,其中begin函数没啥卵用。

 main函数是一个小程序的界面

 encrypt函数是一个加密函数,我们输入的字符串会被加密

最低0.47元/天 解锁文章
ciscn_2019_en_2
m0_62322730的博客
05-06 211
ciscn_2019_en_2
[BUUCTF] ciscn_2019_en_2
最新发布
a3314019530的博客
08-25 341
程序里面既没有现成的system也没有/bin/sh字符串。所以思路应该是通过put函数泄露libc地址,然后拿到system函数和/bin/sh字符串实现攻击。用ida查看一下,只有输入1进入encrypt()函数内,然后利用gets函数可以实现栈溢出攻击。64位程序,开了NX保护。先checksec一下。
buuctf|ciscn_2019_en_2 1
m0_64236521的博客
05-02 761
ciscn_2019_en_2 1 下载后我重命名为pwn_14了 checksec一下 nx开启,可以栈溢出 64位,用ida看看 分析下,只有输入‘1’有用,即encrypt函数较为重要,进入encrypt 有gets(s),可以进行栈溢出,没有找到后门函数。 那基本思路有了,这里可以栈溢出,但要绕过strlen判断,之后就是基本的ROP,ret2libc。 exp如下 from pwn import* from LibcSearcher import* context(os='linux', ar
【CTF】ciscn_2019_en_2
凉水的博客
01-26 3962
思路: 1 先反编译,粗略看了下,溢出点应该在encrypt函数里(只贴关键部分): void encrypt(char *__block,int __edflag) { size_t sVar1; long lVar2; ulong uVar3; undefined8 *puVar4; undefined8 local_58 [9]; ... *(undefined2 *)puVar4 = 0; puts("Input your Plaintext to be encr
BUU-Pwn-ciscn_2019_en_2(和BUUciscn_2019_c_1为同一
一个啥也不会的小菜鸡!
06-21 269
是一个菜单,有一个栈溢出漏洞,但里面有字符串加密逻辑,绕过后才可以使用栈溢出。而且本中没有后门函数等,所以需要自己去寻找,首先泄露除一个函数地址,进而计算出system和“/bin/sh”的位置。通过ROPgadget --binary ciscn_2019_c_1 >gadgets。-》puts_got_addr的地址。-》puts_plt_addr的地址。通过IDA测算栈溢出距离:0x50。[[ROPgadget的使用]]获取pop_rdi_ret片段。[[Stack上函数传参]]
[CTF]BUUCTF-PWN-ciscn_2019_en_2
weixin_53394081的博客
04-11 467
【CTF】BUUCTF-ciscn_2019_en_2 pwn
BUUCTF pwn——ciscn_2019_en_2
CNS-Enterprise BCC-1701-J
04-05 241
BUUCTF练习
BUUCTF ciscn_2019_en_2
carol2358的博客
04-09 2694
整体的思路是ret2libc 先checksec 理一下目: 只有功能1是能用的,输入1,来到encrypt函数,输入s,因为后面有strlen,所以\0截断,溢出为0x58 exp: from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_l...
ciscn_2019_en_2解
2301_81504456的博客
07-15 469
当遇到\0时以其作为结束符,返回其之前的字符数量,而不是计算后面所跟参数的全部长度。所以可以先添上'\x00'使得跳出加密过程,又因为之前执行了puts函数,利用该性质加上gets的栈溢出,书写第一个payload来泄露gets的libc版本
BUUCTF - PWN】ciscn_2019_en_2
古月浪子的博客
03-25 1272
不知道是不是目重复了,反正我的另一篇博文的exp可以直接copy过来打通… 传送门:【BUUCTF - PWN】ciscn_2019_c_1 附件:ciscn_2019_en_2
ciscn_2019_en_4
seaaseesa的博客
05-01 480
ciscn_2019_en_4 首先检查一下程序的保护机制 然后,我们用IDA分析一下,主函数里的功能通过对应index的虚表调用,虚表存在在堆里。 Edit功能存在下标溢出,因此可以向上溢出修改虚表指针。 Show功能同理存在溢出,可以读取原来的虚表地址,进而计算出程序的基址。 进而计算出堆指针存放的地址,我们将堆指针的地址-0x18作为虚表地址,这样,当我们再次调用功...
ciscn_2019_en_3
doudoudedi
01-25 963
新年好啊大家 解 常规操作tcache打free_hook exp: #!/usr/bin/python2 from pwn import * local=0 if local==1: p=process('./ciscn_2019_en_3') elf=ELF('./ciscn_2019_en_3') libc=elf.libc else: p=remote('...
[BUUCTF]PWN9——ciscn_2019_en_2
mcmuyanga的博客
08-26 763
[BUUCTF]PWN9——ciscn_2019_en_2 目网址:https://buuoj.cn/challenges#ciscn_2019_en_2 步骤: 例行检查,64位,开启了NX保护 nc一下看看程序的执行大概流程,看这个模样很眼熟 ida查看了一下程序,确定了跟之前的 [BUUCTF]PWN6——ciscn_2019_c_1 一样,具体的看那的链接 exp: from pwn import* from LibcSearcher import* r=remote('node3.buu
MT4400T_EN压缩包文件内容解析
由于提供的文件信息过于简洁,没有给出足够的内容来深入分析和详细说明相关的知识点,文件标“eview_MT4400T_EN.rar”和描述“eview_MT4400T_EN.rar”并未提供实质性的信息,仅仅是文件的名称。此外,文件的标签和...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hello Sally

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值