CTF buuoj pwn-----第3题:warmup_csaw_2016

最新推荐文章于 2025-10-07 18:13:52 发布

原创

最新推荐文章于 2025-10-07 18:13:52 发布 · 2k 阅读

10 ·

CC 4.0 BY-SA版权

文章标签：

#python #pwn #安全漏洞

本文记录了一次pwn题目的解决过程，通过检查程序保护机制、静态分析及ida调试，发现了一个栈溢出漏洞。利用这个漏洞，通过编写exploit并触发sub_40060D函数，最终成功获取了flag。

CTF buuoj pwn-----第3题: warmup_csaw_2016

前言
一、checkesc ,检测文件的保护机制
二、静态分析，IDA打开文件
三. 编写exploit
四. 运行EXP, 获取flag

前言

记录一下pwn的过程同第1、2题一样,新手学习日记,流水线记录.
打开题目, 连接靶机，下载文件’warmup_csaw_2016’

在这里插入图片描述

一、checkesc ,检测文件的保护机制

bing@bing-virtual-machine:~$ checksec ./warmup_csaw_2016
[*] '/home/bing/warmup_csaw_2016'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX disable

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Hex_bing

关注关注

7
点赞
踩
10

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

warmup_csaw_2016

weixin_56301399的博客

07-20

1671

做了几道入门的题，从原来的柔弱蚂蚁到现在稍稍强壮的蚂蚁，我决定实施菜狗子计划，让蚂蚁继续进化。题目中的思路很清晰，对于栈溢出，我们先判断是否有栈溢出的漏洞，之后去找系统调用的函数，然后查到他的地址，最后就是我们的代码构建了。偏移量的计算=（数组本身大小+对应位的偏移64位是ox8）然后加上我们系统调用函数的地址。...

【BUUCTF】warmup_csaw_2016

2201_75556700的博客

11-29

693

4、这里有两个数组都是64字节，在sprintf这里，将sub_40060D函数的地址存放在s中。题目一：【BUUCTF】warmup_csaw_2016。3、使用ida64分析文件，找到main函数，F5反汇编。2、下载附件，在kali中分析，64位，小端存储。5、查看函数sub_40060D，地址。03、权限不够时，添加权限就可以。04、使用r命令运行程序。05、使用n命令单步调试。01、使用gdb工具。

1 条评论您还未登录，请先登录后发表或查看评论

2 条评论

ddddddduuuuu 2024.11.20
太强了，顶顶顶[face]emoji:003.png[/face]

抓手 2021.08.30
太棒了，写的真的很细，很容易理解[face]monkey2:005.png[/face][face]monkey2:005.png[/face]

[BUUCTF-PWN] warmup_csaw_2016

最新发布

weixin_44570459的博客

10-07

143

3、双击后通过ctrl+x交叉引用，定位这个敏感字符串在sub_40060D这个地址函数中被调用。4、进一步跟踪该地址函数，发现该函数为后门函数，通过系统调用读取flag.txt。1、发现存在gets函数，可导致栈溢出漏洞，其中v5长度为0x40。2、通过shitf+F12发现敏感字符串：cat flag.txt。

【Pwn | CTF】BUUCTF warmup_csaw_2016

weixin_46301214的博客

02-04

552

天命：第二题pwn，这次知道了目标就是瞄准system函数，如果里面是 /bin/sh 之类的就是直接getshell，如果是普通命令的话，应该就是getflag了。点进去变量，然后这里开始我就不懂了，别人wp就说这里是40空间+8空间（8空间就是覆盖64位下rbp的长度）sub_40060D这个函数就是重点，点进去一看就是我们的目标system("cat flag.txt")那就要拿到两个东西：sub_40060D函数的入口地址和 v5变量的缓冲区大小。条件一：获取sub_40060D函数入口地址。

BUUCTF PWN warmup_csaw_2016

Rt1Text的博客

04-22

495

1.checksec+运行 64位/没有保护 2.64位IDA进行 1.main 函数明显的溢出函数gets() 跟进v5看看 offset = 0x40+8 shift+f12 真不错,cat flag.txt 找它的地址 3.上脚本 from pwn import* #p=process('./3warmup') p=remote("node4.buuoj.cn",28180) flag_addr=0x400611 payload=b'a'*(0...

【BUUCTF-PWN】3-warmup_csaw_2016

燕麦葡萄干的博客

07-04

406

checksec检查是64位，未开启任何保护。直接字符串查找system或者flag。后门函数的地址是0x40060D。gets()函数存在栈溢出。

BUUCTF PWN wp--warmup_csaw_2016

2302_81740139的博客

08-19

1364

这个数组在栈帧中的位置相对于基指针ebp是偏移量-40的地方（如果ebp指向栈帧的底部），这通常意味着它是函数中的一个局部变量。PIE（Position-Independent Executable）是一种安全特性，它使得程序的代码可以在内存中的任意位置加载，这样每次程序运行时地址空间布局都是随机的，增加了利用内存损坏漏洞的难度。在函数开始执行时，如果函数要使用某些寄存器，并且这些寄存器在调用者中之后还需要使用，那么这些寄存器的值需要在栈上保存，以便在函数返回前恢复。仅为个人理解，如有错误，请指正。

BUUCTF-PWN题详解（warmup_csaw_2016&ciscn_2019_n_1）

2302_80325559的博客

11-26

1312

在文章后面补充了栈的知识点，大佬们可以先看看然后再看题解。

[BUUCTF-pwn]——warmup_csaw_2016

Y_peak的博客

01-30

6049

BUUCTF——warmup_csaw_2016 题目地址：https://buuoj.cn/challenges 题目：管他三七二十一，先将文件下载下来再说。老规矩，现在Linux上用checksec看看文件。64位，Stack、NX、PIE都没有开，应该是栈溢出的题。赶快 go go go 去window 上用IDA反汇编看看，看到返回的是gets函数，一个典型的可以利用栈溢出覆盖的地方。其他没什么有用的信息。按Shift + F12，看一下字符串。不看不知道一看有惊喜。cat flag.

warmup_csaw_2016 1

weixin_52034946的博客

01-13

979

先checksec 是64位,小端序进入ida,查看字符串有一个cat flag 的字符串,跟进去,是这个函数,也就是执行这个函数我们就可以得到flag 一如既往的来到了main 函数处, 也是看到了get函数,一般就是栈溢出了,v5的大小位0x40,再加上是64位,所以要输入0x40+8,来造成栈溢出脚本 from pwn import* r=remote(‘node3.buuoj.cn’,28011) flag_addr = 0x40060D payload = ‘a’*(0x40+8)+p6

buuctf warmup_csaw_2016

yidalipao1的博客

09-03

726

buuctf pwn

BUUctf warmup_csaw_2016

A_fish_like_sing的博客

03-14

518

buu ctf pwn warmup_csaw_2016

BUUCTF|PWN-warmup_csaw_2016-WP

l2645470582_的博客

07-28

609

1、下载文件并开启靶机 2、在Linux中查看该文件信息 checksec warmup_csaw_2016 3、我们看到该文件是64位的文件，我们用64位IDA打开该文件 3.1、shift+f12查看该文件的关键字符串 3.2、双击关键字符串，f5进入反编译代码区查看main函数 3.3、我们看到s和v5字符数组，查看他们所占字节 v5有溢出: r(返回地址)：关键字符串函数地址 4、编译代码 #i...

[BUUCTF]PWN------warmup_csaw_2016

BangSen1的博客

01-14

635

warmup_csaw_2016 例行检查，64位，无保护运行一下,没什么信息。用64位IDA打开，查看字符串,看到了cat flag，进去瞧瞧可以看到这个函数的功能就是输出flag，记录下他的地址 flag_addr=0x40060D 再回到主函数瞧瞧,可以看到最后是输出了v5，gets函数并没有限制长度，因此存在溢出漏洞。v5的大小是0x40，因此只要我们输入的字符串长度=0x40+8（64位ebp的长度）即可溢出到返回地址,再将返回地址覆盖输出flag的那个函数地址即可得到fla

buuctf|warmup_csaw_2016 1

m0_64236521的博客

04-15

1870

buuctf|warmup_csaw_2016 1 下载文件运行如下 checksec查看下保护 file一下，是64位文件拉进ida，发现gets(v5),查看v5,明显的栈溢出找到system，地址40060d 直接exp from pwn import* p=remote('node4.buuoj.cn',28415) payload=b'A'*0x48+p64(0x40060D) p.sendline(payload) p.interactive() 得flag ...

BUUCTF-warmup_csaw_2016

m0_64180167的博客

04-11

565

64位的linux文件。

buu:pwn warmup_csaw_2016

weixin_60553183的博客

11-29

2694

buu:pwn warmup_csaw_2016 第一次写pwn题，得到文件放入ida 其实一开始和re的题很像，都是寻找关键函数，怎么找，个人理解是要关注输入输出有无比较的地方，这里shb_40060D很明显就是关键函数，点进去，为什么呢，因为gets()函数很明显会有栈溢出漏洞，sub_40060D函数是后门。找到了system和 cat flag.txt。进入虚拟机，对文件进行checksec操作发现没有任何防护写exp 在终端运行得flag. ...

BUUCTF|warmup_csaw_2016 1

cm_zl

04-30

1417

from pwn import * context.log_level = 'debug' io=remote('node3.buuoj.cn', "28247") payload = "A"*(0x48) + p64(0x40060D) io.sendline(payload) io.interactive()

Pwn练习：四道CTF竞赛题目及解题EXP解析

“csaw ctf 2016 quals-warmup”可能是入门级的pwn题，“Tokyo West CTF 3rd 2017-just_do_it”可能需要使用者在有限的信息下挖掘和利用漏洞，“sCTF 2016 q1-pwn1”则可能是针对特定系统或服务的第一个pwn题目。...