get_started_3dsctf_2016

最新推荐文章于 2022-10-29 15:33:00 发布
最新推荐文章于 2022-10-29 15:33:00 发布
阅读量157 收藏
点赞数 1
分类专栏: pwn 文章标签: 安全 shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xieyichensss/article/details/115337092
版权

额,鸽了好久,因为这几天在将之前学的来做题总结和应用一下,发现学了和没学差不多,很难受就。
BUUCTF get_started_3dsctf_2016
1.直接进入from pwn import *,然后elf = ELF(“get_started_3dsctf_2016”),直接显示是32位的,且打开了NX,表示代码数据段的执行和写入权限不能同时开启。
2.拖入IDA pro,妈呀,好简单的源码,直接gets(v4),有栈溢出的漏洞啊这是。发现v4到ebp的距离为0x38.又在ida左侧的函数名中发现了get_flag函数.
到这里我其实就被卡住了,看了网上的wp,又自己研究了好久。下面我来写下自己的理解。
3.用mprotect来改变一个地址(我们暂时称这个地址位start)的权限,让其变成可读可写可执行,然后利用read函数的读取功能,再将ip返回到start这个地址就的目的是执行这段shellcode来获取shell,然后再构建一个payload2 就是自动生成一个shellcode,就可以拿到shell了。
4.因为mprotect和read都需要参数,我们利用完参数之后,需要将他们pop出来,所以需要用pop pop pop ret来使程序的执行进行下去,第一个ret是将ip置为read函数的地址,而第二个ret是将程序执行流转到start这个地址处,这样才能向其中传入shellcode啊。
5.栈中的情况请看图,画的很乱,请见谅,我会尽量换一个做图软件的。
在这里插入图片描述

右侧的read_addr是我一开始忘记画上去了(呜呜),后来又补上了。嘿嘿

eeeeeeeeeeeeeeeea
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
get_started_3dsctf_2016 题解
lifanxin的博客
12-11 1035
Write Up知识点关键字样本运行静态分析动态调试求解思路求解脚本 知识点关键字 栈溢出,ROP + shellcode 样本 get_started_3dsctf_2016样本下载 运行 检查文件:   32位小端程序;   开启了NX保护,栈保护未开启。 运行程序: 静态分析 动态调试 求解思路 求解脚本 ...
get_started_3dsctf_2016 1
qq_41560595的博客
03-18 754
又是被暴击的一天。 查看文件权限 可以栈溢出,地址写死了。 查看源程序 还是个静态文件,首先想到可以使用Gadget。 分析 存在一个mprotect函数: #include <unistd.h> #include <sys/mmap.h> int mprotect(const void *start, size_t len, int prot); mprotect()函数把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。 prot代表着 r-w-x
BUUCTF get_started_3dsctf_2016
红叶的博客
10-29 407
最后必须要返回exit,因为本题没有开启标准输入输出,输入输出会在缓冲区呆着,而exit执行后会将缓冲区输出,则可回显flag。需要 -0x04,因为是32位程序,并且返回地址要改成 get_flag 的地址。溢出 + get_flag地址 + exit + 2个判断条件。溢出 + get_flag地址 + 2个判断条件。但是这个思路还缺少一步。key,key1的地址。
BUUCTF get_started_3dsctf_2016(mprotect)
、moddemod
06-10 530
典型的栈溢出 而且还留了后门 在本地可以拿到flag.txt文件,但是远程不行! 栈不可执行 原型: int mprotect(const void *start, size_t len, int prot) start:需改写属性的内存中开始地址 len:需改写属性的内存长度 prot:需要修改为的指定值 功能: mprotect()函数可以用来修改一段指定内存区域的保护属性。 他把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。 prot可以取以下几个值: 1)PRO.
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 328
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
buuctf|get_started_3dsctf_2016 1
m0_64236521的博客
05-01 643
方法一 我将文件下载后将其重命名为pwn_13,checksec一下 可以直接栈溢出,32位,进入ida gets(v4)可以栈溢出,这里没找到后门函数,只发现了get_flag函数,进去看看 只要a1,a2满足值便可以输出flag,a1和a2是函数参数,我们可以进行传入,同时为了让get_flag正常结束,我们要使其返回函数为exit() exp如下 from pwn import* p=remote('node4.buuoj.cn',26832) context.log_level='debu
get_started_3dsctf_2016【BUUCTF】(两种解法)
qq_41696518的博客
08-27 1211
get_started_3dsctf_2016
[BUUCTF]PWN11——get_started_3dsctf_2016
mcmuyanga的博客
08-28 3705
[BUUCTF]PWN11——get_started_3dsctf_2016 题目网址:https://buuoj.cn/challenges#get_started_3dsctf_2016 步骤: 第一个方法,本地打通,要自己创建一个flag.txt 例行检查,32位,开启了nx保护 nc一下,看看程序大概的执行情况 32位ida载入,shift+f12查看程序里的字符串,看到了flag.txt 双击跟进,ctrl+x查看哪个函数调用了它,发现了一个函数,当a1=0x308cd64f,a2=0x19
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
get_started_complete_Windows编程_
10-02
在本文中,我们将深入探讨"get_started_complete"这个主题,特别是关于Windows编程的入门知识。Windows编程是开发针对Microsoft Windows操作系统应用的过程,它涉及到使用特定的API(应用程序接口)和其他工具来创建...
LinkIt_for_RTOS_Get_Started_Guide.pdf
06-23
LinkIt_for_RTOS_Get_Started_Guide.pdf
PHP file_get_contents设置超时处理方法
10-26
今天说的这篇是讲超时的,确实在跨服务器提交的时候,不可避免的会遇到超时的情况,这个时候怎么办?set_time_limit是没有用的,只有用context中的timeout时间来控制
解决file_get_contents无法请求https连接的方法
10-26
3. **使用cURL替代file_get_contents**: 如果您无法修改服务器配置,或者上述方法不适用,您可以选择使用cURL库来代替 `file_get_contents`。cURL是一个强大的URL传输库,支持多种协议,包括HTTPS。下面是一个使用...
详细ciscn_2019_s_3题解
xieyichensss的博客
04-23 1381
来了来了,我拖了好久,因为吧,之前做了个堆题,大概用了一周才做完,做完堆题,下一个题是栈的,我以为会很简单,但是对我来说很难诶。上才艺… (系统调用其他师傅都有写,我就不赘述啦啦啦啦啦),因为师傅们翻到我这里肯定对系统调用有了解了呀,我这么菜,只能在最下边呜呜呜。 1.拖入ida,反汇编(64位),注意到函数传参与32位会不同。 在函数框内发现vuln(大家应该对这种函数很熟悉了吧),还有gadgets函数,奇怪,正常的栈不会有这种东西啊,于是我就点进去看了看,看到了这两个像rax进行传参的汇编,这就为我们
绝对详细的babyheap_0ctf_2017题解
xieyichensss的博客
04-24 1021
这是我第一次做堆题,其他师傅的wp都看了一个周左右,才把大概所有我不明白的地方搞懂。 直接上其他师傅的exp,然后逐步分析叭。(希望我尽快可以自己做堆) from pwn_debug import * pdbg = pwn_debug(‘babyheap_0ctf_2017’) pdbg.remote(‘node3.buuoj.cn’,26076) p = pdbg.run(‘remote’) def allocate(size): p.recvuntil('Command: ') p.sendline(‘
buu的pwn1_sctf_2016
xieyichensss的博客
03-18 724
**(学生党太菜了)** pwn_sctf_2016 1.拿到文件,首先checksec并file一下。 发现NX打开了,哦 糟糕.不过不慌,我们下一步打开IDA看一哈 2.用32位的IDA打开他,反汇编一下。双击vuln()函数。 得到这一大堆我看不懂的东西,不过我看到最后有strcpy函数,知道是一个栈溢出的问题。s的大小为0h3c,且函数中出现I和you,着重分析他俩(经过一系列的百度)。得到最后是用you代替I,这样输入20个I就可以溢出到ebp了。 3.我又在全部函数中找啊找,发现...
ciscn_2019_es_2
xieyichensss的博客
05-05 625
这一题主要是利用栈迁移,这对我来说是新知识,所以花了比较长的时间来复现和看其他师傅的wp。 思路: 1.read0x30个字节,而s大小只有0x28,留给我们的操作空间不大呀,那我们把前边题目要写入垃圾数据的空间不填入垃圾数据,填入需要的payload,然后在ebp位置上填要返回的位置(就是填垃圾数据的地方),最后在ret位置上填leave_ret的地址(这里要注意,vul函数退出时有一个leave_ret,但是我们又构造了一个leave_ret)明天出动态调试过程,今天不想动脑嘿嘿 ...
ciscn_2019_n_8
xieyichensss的博客
04-07 497
最近做题好少啊,感觉堆好难啊。 废话不多说了,这是我做过的挺简单的一个题了。 1.拿到文件,直接file,发现保护基本全开,心里一凉,然后拖入ida。 2.发现是个很简单的栈溢出,如果var数组的第14个参数为0x11,即可调用system(’/bin/sh’)。 而又有scanf函数,且第一个参数为var数组的首地址。 3.exp from pwn import * context.os=‘linux’ context.arch=‘i386’ context.log_level=‘debug’ #sla=
sqlite3_get_table所有操作
最新发布
05-13
sqlite3_get_table是一个SQLite C/C++ API函数,用于执行SQL查询并返回查询结果。它返回的结果是一个包含查询结果的二维数组。下面是sqlite3_get_table的所有操作: ```c int sqlite3_get_table( sqlite3 *db, /* ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值