BUUCTF ciscn_2019_c_1(64位ret2libc3)

原创

已于 2022-04-10 13:26:32 修改 · 4.6k 阅读

10 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #pwn #python #c语言 #linux

于 2022-04-10 13:23:08 首次发布

本文讲述了在64位环境下，通过IDA分析一个加密函数的漏洞，利用栈溢出绕过加密并通过Ret2Libc3技巧获取shell的过程。作者详细展示了如何利用puts地址泄漏、rop gadget寻找和精心构造的payload来实现攻击。

1.checksec+运行

64位/NX保护

运行起来貌似很有意思,是一个加解密操作

后来发现只能加密不能解密

2. 强大的IDA进行中

1.main函数

貌似看不出什么

2.encrypt函数

加密具体操作

大小写字母/数字进行异或运算

发现gets()栈溢出

s大小0x50

需要先把加密函数绕过

该函数的功能就是循环对输入的字符串进行加密，在加密前都有一个检查，只要v0的值大于或等于字符串的长度就跳出循环，通过strlen来计算字符串长度的，strlen计算字符串的长度是以’\0’作为终止符，在payload的开头加上’\0’就能绕过加密,这样我们写入的数据不会被改变

 while ( 1 )
  {
    v0 = (unsi

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Rt1Text

关注关注

0
点赞
踩
10

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

[NewStarCTF 公开赛赛道]ret2libc（BUUCTF）

Welcome To Myon'Blog !

05-20

1112

本文描述了一个64位程序的栈溢出漏洞利用过程。程序开启了NX保护，且没有直接提供/bin/sh字符串和system函数。通过分析，作者采用了ret2libc攻击思路，利用puts函数泄露其真实地址，进而计算libc基址，获取system函数和/bin/sh字符串的地址。首先，通过构造第一个payload，利用pop_rdi和ret指令将puts函数的真实地址泄露出来，并返回到main函数。接着，构造第二个payload，将/bin/sh字符串地址传入rdi寄存器，调用system函数，最终成功获取shell

[BUUCTF]PWN——cmcc_pwnme1(ret2libc)

mcmuyanga的博客

01-30

861

cmcc_pwnme1 附件步骤例行检查，32位程序，没用开启任何保护本地试运行一下，看看大概的情况 32位ida载入，检索字符串的时候发现了读出flag的函数这个flag的位置不清楚对不对，按照buu的习性，应该不对 main（） getfruit（），这边存在栈溢出先试一下那个读出flag的函数，和我想的一样，buu上flag的目录不在那儿因为看到没用开启nx，所以一开始想要使用shellcode，但是碍于没法获得参数v1在栈上的位置，就换用ret2libc的方法了完整ex

参与评论您还未登录，请先登录后发表或查看评论

ret2libc3_x64

最新发布

aksghj的博客

07-25

293

。

ciscn_2019_s_1

z1r0的博客

03-17

796

ciscn_2019_s_1 查看保护申请的大小在0x7f-0x100之间 key1有限制，还有一个off-by-null key2不为0可以调用show这个函数攻击思路：edit中有一个off-by-null，key1和key2都被限制了。其实攻击思路还挺明确的，因为heap是一个list，保护没有开pie，所以可以使用unlink来申请地址 1.首先肯定是要填充满tcache的，因为不是tcache的话，unlink不是双链表 2.接着考虑将unlink申请到哪里在bss段这里可以看到有

ciscn_2019_c_1

qq_45913417的博客

11-18

9526

经典ret2libc，着实恶心到我了。前后捣鼓了将近3、4个小时，勉强把原理理解透彻。边做题边C语言：艹！输入字符串s加密逻辑： 1、如果是小写字母跟0xD异或 2、如果是大写字母跟0xE异或 3、如果是数字跟0xF异或 [ASCII码对照表]：(http://c.biancheng.net/c/ascii/) LibcSearcher工具：https://github.com/dev2ero/LibcSearcher from pwn import * from LibcSearcher i

baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛

04-22

baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛

BUUCTF ciscn_2019_c_1

2401_88087539的博客

01-07

372

pwn新手小白，写完题后整理的一点点思路，有借鉴其他wp，有任何问题各位师傅可以提出，接收批评指正

BUUCTF ciscn_2019_c_1 题解

qq_51802916的博客

08-20

541

这个地方还会涉及到堆栈对齐的问题，有时候POC都构造正确了，但是运行时仍然报段错误，可能就是堆栈没有对齐，这是我们可以加入一条ret指令，改变一下堆栈，例如假如rsp指向了0xff88，这是一个没有对齐的地址，增加ret后就会变成0xff90，这个一个已经对齐的地址，可以正常运行。，这里显然可以进行缓冲区溢出利用，中间的部分是对字符串进行处理，我们不需要看得太仔细，因为可以通过传入\x00字符使循环提前终止，这样就不会影响我们的payload的了。的装载地址和shell字符串的装载地址，然后构造POC了。

BUUCTF ciscn_2019_es_2

2401_85052854的博客

03-20

827

BUUCTF ciscn_2019_es_2 的wp

ciscn_2019_ne_3

seaaseesa的博客

05-07

507

ciscn_2019_ne_3 (在rop长度过小情况下，通过read劫持read自身的返回来达到后续大量rop) 首先检查一下程序的保护机制然后，我们用IDA分析一下，32位栈溢出，难点在于结束变更了两次esp，因此，我们单纯的溢出，直接会造成esp变更到一个无效的地址处。因此，我们需要将将ecx覆盖为bss段，将栈切换到bss上进行rop。但是切换到bss之前，需要先...

Double ciscn 2019 第十二届全国大学生信息安全竞赛

04-22

pwn赛题之Double ciscn 2019 第十二届全国大学生信息安全竞赛

ciscn_2019_n_5

qq_39869547的博客

01-11

1116

very easy # -*- coding:utf-8 -*- from PwnContext.core import * local = 1 if local == 1 : p = remote('node3.buuoj.cn','25056') else: ctx.binary = binary ctx.remote_libc = debug_libc ctx...

ciscn_2019_c_3

seaaseesa的博客

05-01

896

ciscn_2019_c_3 首先，检查一下程序的保护机制 Glibc给定版本2.27 然后，我们用IDA分析一下 Delete功能没有清空指针只能向heap_data + 0x10处开始输入数据,这意味着，chunk的fd域不能被我们修改到 Backdoor函数可以对chunk的fd域做修改，因此，我们可以利用backdoor，将fd指向伪造的chunk处，而伪造的ch...

BUUCTF--pwn--jarvisoj_level3【ret2libc】

qq_73149934的博客

12-04

476

BUUCTF--pwn--jarvisoj_level3

BUUCTF--pwn--[OGeek2019]babyrop【ret2libc】

qq_73149934的博客

12-06

335

BUUCTF--pwn--[OGeek2019]babyrop

2019ciscn_s_3

Hyrink的博客

06-07

670

ciscn_s_3的两种解法：SROP & ret2csu详解

CISCN2019初赛 Love Math

Tajang的大千世界

04-11

429

打开靶机直接给了源码，刚开始没啥思路，看了wp，大致懂了。先介绍一个概念，在PHP中可以把函数名赋给变量，然后通过变量调用函数，比如下面的代码会执行system('ls'); $a='system'; $a('ls'); 我想执行system('cat /flag');那就应该是如下语句 ?c=$_GET[a]($_GET[b])&a=system&b=cat /flag 但是源码限制了许多东西： 1.payload长度不能超过80 2.payload中不能包含’ ‘, ‘\t’,

BUUCTF ciscn_2019_c_1（ret2libc）

weixin_45441024的博客

01-04

530

BUUCTF ciscn_2019_c_1（ret2libc）首先还是check一下，之后放到IDA里面进行分析可以看到里面有一个encrypt函数，我们来对他进行一个分析，可以看到一个关键点做法一：我们可以得出只要输入东西了，这个IF判断就是成立的，所以我们这里需要了解一个知识：在输入的内容前面加入’\0’可以绕过strlen这个函数在这个函数里我们也可以很快找到溢出的地方，gets函数，对于我们输入的内容长度没有限制，再看上面定义变量的时候，s距离栈底的长度为0x50,纵观函数内容我们

BUUCTF(pwn)x_ctf_b0verfl0w [ret2libc类型]

半岛铁盒的博客

04-06

526

是ret2libc类型 from pwn import * from LibcSearcher import * p = remote('node3.buuoj.cn',25524) elf = ELF('./b0verfl0w') puts_plt=elf.plt['puts'] puts_got=elf.got['puts'] main=0x804850e payload='a'*(0x20+4)+p32(puts_plt) + p32(main) +p32(puts_got) p.s.

深入理解ret2libc攻击：无壳代码控制

在IT安全领域，"Performing a ret2libc Attack-InVoLuNTaRy" 是一篇关于高级攻击技术的教程，主要讲解如何利用ret2libc（Return to Library Call）漏洞进行攻击。ret2libc是一种针对栈溢出漏洞的利用方法，它让攻击...