【个人笔记】题目:MoeCTF2025_find_it

最新推荐文章于 2025-11-30 22:23:34 发布
原创 最新推荐文章于 2025-11-30 22:23:34 发布 · 599 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#笔记 #网络安全 #系统安全

题目:MoeCTF2025_find_it
日期:25-8-27
题目逻辑:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v3; // eax
  char file[40]; // [rsp+0h] [rbp-30h] BYREF
  unsigned __int64 v6; // [rsp+28h] [rbp-8h]

  v6 = __readfsqword(0x28u);
  init(argc, argv, envp);
  v3 = dup(1);
  write(v3, "I've hidden the fd of stdout. Can you find it?\n", 0x2FuLL);
  close(1);
  __isoc99_scanf("%d", &fd1);
  write(fd1, "You are right.What would you like to see?\n", 0x2AuLL);
  __isoc99_scanf("%s%*c", file);
  open(file, 0);
  write(fd1, "What is its fd?\n", 0x10uLL);
  __isoc99_scanf("%d", &fd2);
  read(fd2, &buf, 0x50uLL);
  write(fd1, &buf, 0x50uLL);
  return 0;
}

要点解析:

  • 由[rsp+0h]&[rbp-30h]可知栈底(rbp)与栈顶(rsp)相距30h(48字节),file的起始地址位于rsp,file占据rsp向下40字节。图示:
    栈底(rbp)|----(8字节)----|----file(40字节)----|←栈顶(rsp)
  • int64定义了一个64位(8字节)整数v6,由[rbp-8h]可知v6起始位置位于rbp上方8字节
  • 线程本地存储(TLS):操作系统和编译器协作,为进程中的每一个线程都分配一小块私有的内存区域。当一个变量被声明为thread_local时,编译器会确保每个线程访问这个变量时,实际上是在访问它自己那块私有内存区域中的副本。
  • fs:一种段寄存器,存储当前线程的线程本地存储(TLS)区域在虚拟内存中的起始地址。
  • qword:长度为8字节的一段数据
  • v6 = __readfsqword(0x28u);:从fs向下0x28u(40字节)处开始读取8字节的一段数据存入v6。这里的v6是金丝雀。
  • fd:文件描述符,如“0,1,2,3,…”,指向内核管理的一个复杂数据结构
  • dup:系统调用,调用一个fd,系统会默认寻找最小的空闲fd。在这里因为程序启动已经调用了0,1,2三个fd,最小的空闲fd为3,所以dup(1)调用了3,并把1的权限复制给3,此时v3的值为3。
  • write中的v3:v3位置为文件描述符,因为dup将1的权限复制给了3,所以这里相当于在v3的位置放了一个1(默认为:0,标准输入;1,标准输出;2,标准错误),使后面的字符串能正常显示。
  • write中的0x2FuLL:0x2F规定了输入字符串的长度。write作为底层输出函数,不具备像print、printf那样自动计算数据长度的能力,而需要人为规定写入的数据长度。uLL 后缀表示"unsigned Long Long",确保这是一个64位无符号整数。
  • write中的字符串:write会将2F长度的字符写入v3(即1),因为1代表标准输出,所以这个字符串最终会输出到屏幕上。
  • close(1):关闭了文件描述符1,使其空闲。
  • __isoc99_scanf(“%s%*c”, file);:%s:读取一个非空白字符串;%*c:c通常用于读取并丢弃输入流中残留的换行符(\n),*表示赋值抑制,匹配一个字符但不会赋值给任何量。file即程序开头设置的缓冲区,用来存储用户输入的文件名(flag)。
  • open打开用户输入的文件名,如果该文件存在,就以只读模式(0)打开,并返回一个fd=1(因为1此时空闲且最小),且1并未被任何变量承接。但因fd被close后就失去了原本指向,所以这里的fd=1并不代表标准输出,1指向open打开的文件。
  • read从fd2(即输入的1)指向的文件(flag)中读取50(80字节)长的数据并写入buf,write输出buf中的内容。
    解题思路:
    因为程序启动占用了0、1、2,所以dup只能将3赋给v3,因此第一次输入3并将3赋给fd1,使第二个问题能正常输出。第二个问题根据经验输入flag,open成功打开flag并返回一个fd,因为1被close,所以open返回fd=1,此时1指向flag。第二次输入,根据文字提示输入1,将1赋给fd2,read从flag中读取数据存入buf,write将其输出。
RESTful学习笔记 --- TypeError: __init__() got an unexpected keyword argument 'method'
杨鑫newlife的专栏
12-16 6万+
RESTful学习笔记 --- TypeError: __init__() got an unexpected keyword argument 'method'
《Flask Web开发》学习笔记之bug--(6)【TypeError: __init__() got an unexpected keyword argument 'method'】
Henry1991back的博客
07-13 1万+
# hello.py from datetime import datetime from flask import Flask, render_template from flask_script import Manager from flask_bootstrap import Bootstrap from flask_moment import Moment from flask_wtf
个人笔记题目MoeCTF2025_EZtext
Java_new_2020的博客
09-01 488
题解及相关知识点
个人笔记题目MoeCTF2025_ez_u64
Java_new_2020的博客
09-01 391
题解及相关知识点解析
MoeCTF2025-Reverse(week1)
2303_79314941的博客
10-12 812
MoeCTF2025 re方向week1题解
个人笔记题目MoeCTF_2025_ezshellcode
Java_new_2020的博客
09-10 515
题解及要点
moectf 2024 垫刀之路01:moectf?启动!
voice670的博客
07-17 421
这题提示我们getshell以后不知道去哪可以看看环境变量。明确了以后直接看一下环境变量。
DevTools 无法加载 SourceMap 错误:状态代码 404,net::ERR_HTTP_RESPONSE_CODE_FAILURE
梦凝哲雪
08-02 1万+
浏览器控制台 一直显示警告 某些有小洁癖的前端程序员 实在 蓝瘦香菇!!! 如图所示: DevTools无法加载源映射∶无法加载http:l/m.y .com:8B8/NC_103 5_blog[js/axios,.map的内容: HTTP错误:状态代码44, net:Ee_iTPp_RESsa0isE_COE FAILURE axios.js源码位置 1756行 源代码该行被注释 什么是 Source Map 在前端开发过程中,通常我们编写的源代码会经过多重处理(编译、封装、压缩等),最后形成产物
【QT】widget.obj:-1: error: LNK2019: 无法解析的外部符号 __imp_PostMessageW,函数 “private: void __cdecl Widget
胡先森i的博客
11-14 1万+
问题: 我在QT学习的过程中,遇到一个非常棘手的问题,简单而又复杂。网上找到一堆什么删除Debug下的文件夹再重新构建,屁用没有。在几番百度谷歌搜索下,终于找到一个解决办法,在此非常感谢前辈大佬的笔记,真的有用。先简单描述一下问题:编译后报错,以下几个,看的我是头疼不已! error: LNK2019: 无法解析的外部符号 __imp_PostMessageW,函数 "private: void __cdecl Widget::refresh(struct HWND__ *)" (?refresh@Widg
PyTorch学习笔记:使用state_dict来保存和加载模型
热门推荐
牧羊女
05-09 1万+
1. state_dict简介 state_dict是Python的字典对象,可用于保存模型参数、超参数以及优化器(torch.optim)的状态信息。需要注意的是,只有具有可学习参数的层(如卷积层、线性层等)才有state_dict。 下面就拿官方教程中的一个小示例来说明state_dict的使用: import torch import torch.nn as nn import torch.optim as optim # 定义模型 class TheModelClass(nn.Module
2024-moectf Web WP
2301_80185313的博客
10-15 2513
moectf web wp
MoeCTF2025-Reverse(week4+week5)
2303_79314941的博客
10-12 401
re方向week4+week5个人题解,若文中有不当之处,欢迎各位师傅指正。
MoeCTF 2023 CRYPTO 部分wp
2301_78931332的博客
03-06 818
MoeCTF 2023 CRYPTO 部分wp
西电CTF平台——Moectf 2025 WriteUP
cmdos的专栏
10-14 389
从此开始 签到 在提示中拿到flag。 安全杂项 Misc入门指北 adobe打开pdf,搜索moectf,选中它,直接复制文本就能得到flag。 moectf{We1c0m3_7o_tH3_w0R1d_0f_m1sc3111aN3ous!!} ez_LSB kali的zsteg命令拿到flag的b
MoeCTF-2024-wp
m0_73889365的博客
03-02 1363
moectf ctf wp
MoeCTF2024-Web题解
m0_74823131的博客
12-10 2330
也就是说$str应该传递执行系统命令的代码,这里有toString魔术方法,会返回mystr的值,那么则可以给mystr赋值系统命令,而class002的sec变量可以赋值class003,这样当class003被当成字符串的时候,会返回mystr变量的值。所以此时我们应该想到,变量a赋值的应该是对象b,变量evil应该赋值的是需要执行的命令,而对象B的私有变量b应该赋值一个可执行命令的函数,可以很容易想到php的system函数。这里采用了__construct赋值的方法,将对象B赋值给a,运行代码。
Moectf2025-web&misc&crypto (持续更新
Rsecret2的博客
10-20 2467
本文整理了一系列CTF竞赛题目及其解题思路,涵盖密码学(Crypto)、Web渗透、Misc(杂项)、二进制漏洞利用(Pwn)等方向。部分题目涉及加密算法破解(如ElGamal、DES)、离散对数问题(BSGS)、SQL注入、SSTI(服务器端模板注入)、文件隐写(如LSB、SSTV)、Python沙箱逃逸(Pyjail)等。
C语言学习笔记(1)——输入输出,数据类型
最新发布
DK3314219995的博客
11-30 757
CPU的位数主要决定了其通用寄存器的宽度,这直接影响CPU单次操作能处理的数据量和理论上能直接寻址的内存空间范围,但实际实现可能受地址总线宽度、操作系统和硬件架构的影响。
Python笔记:理解__name__和基本操作详解
本篇笔记主要围绕Python编程语言的核心概念及其内置函数`__name__`进行深入探讨。`__name__`在Python中是一个特殊的变量,用于存储当前模块或脚本的名称。它在模块执行上下文中具有重要意义,帮助区分模块与主程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值