2020SCTF——PWN snake

最新推荐文章于 2022-11-05 17:44:25 发布
最新推荐文章于 2022-11-05 17:44:25 发布
阅读量391 收藏
点赞数
分类专栏: ctf相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_36110484/article/details/107353813
版权

0x00 背景

今年SCTF上的一道PWN题,难度还行,关键是要大概读懂程序,找到可利用的漏洞。由于比赛环境使用的是libc2.23,我为了复现也搞了一个ubuntu16.04的虚拟机(也是libc2.23)。这样搞fastbin利用比较方便。最后在libc的小版本上还是有一点出入,不过,问题不大。

0x01 源码分析

整个main函数的大致逻辑如下,一个42*62的二维数组保存整个游戏区域。依据输入的方向键改变蛇移动的方向。碰到边界后游戏结束。打印分数,并可以留言。然后就进入了喜闻乐见的菜单界面。

while ( 1 )
  {
   
    v10 = 0;
    v13 = 60;//起始y坐标
    v14 = 4;//起始x坐标
    v11 = 0;//y方向的速度
    v12 = 1;//x方向的速度
    dword_603120 = 0;
    memset(ptr_togame_area, 0, 0xA2CuLL);
    sub_4012D7((__int64)ptr_togame_area);
    while ( 1 )                                 // in_the_game
    {
   
      sub_40142A(&v13, &v14, &v11, &v12);
      sub_400EBA((__int64)&v16, dword_603120 + 1, &v13, &v14, (__int64)ptr_togame_area);
      printf("player name: %s \t  score: %d\n", buf, (unsigned int)dword_603120);
      v15 = sub_401560(v13, v14, (__int64)ptr_togame_area, &v11, &v12);
      if ( v15 )
        break;
      v7 = ptr_togame_area;
      if ( v7[(signed int)sub_400E87(v13 + v11, v12 + v14)] == 97 )
      {
   
        ++dword_603120;
        sub_4010E0();
      }
      else
      {
   
        sub_401375();
        usleep(0x11170u);
        sub_400EA4();
      }
    }
    v15 = 0;
    printf(
最低0.47元/天 解锁文章
u7ch1
关注
专栏目录
2020SCTF PWN部分wp
starssgo的博客
07-06 1036
人在楼顶,感觉良好。 目前的自己还是只能做一些常规的Liunx下的PWN题,对其他的我就是个废物了。 这里写目录CoolCodesnake总结 CoolCode 这个题主要是shellcode非常的难构造。 比赛的时候whali3n51大师傅做出来的,我只是复现了他的payload。 本题目沙盒只剩下了0,1,5,9四个函数调用。 当我们想构造ORW的时候,没有open函数怎么办。 这个时候我们知道5在32位下是open。 那么我们考虑用retfq修改cs寄存器从而修改运行模式。 具体参考:https:/
【SCTF2020】signin WriteUp
古月浪子的博客
07-06 1044
一道SCTF的逆向题,做了很久很久才做起,唉…  下载附件,打开发现是一个GUI程序  IDA打开,根据经验分析出这是一个pyqt程序,于是用解包脚本处理这个exe 脚本Github:pyinstxtractor 执行脚本后得到了一个解包后的文件夹 在这里我们重点关注main和struct文件 用WinHex打开,发现main其实是一个没有pyc文件头的pyc文件,而struct中有文件头 于是我们把struct的前16个字节添加到main的最前面,并改名为main.pyc,得到如下文
2020sctf-orz
qq_37439229的博客
10-07 212
马的,我的密码学是真的弱阿,就这个题我都要看一天,是真的服了,不过是真的学到好多, 主要说一下程序流程, 首先输入32个数字,然后用其中的三个数字,作为种子,使用线性同余发生器生成伪随机数 在此说一下线性同余发生器,因为我是真的不知道 就是这玩意,(记住这个是四个字节)然后与flag xor ,生成64个方程,每个都是4个字节, 然后传进4个方程,des加密,前面两个(8个字节)合并组成密钥,后面两个是明文(8个字节),后面再放回原处,进行比较, 其中des加密 还是分奇偶的,要当心溢出, //2 |
SCTF2020 官方Write-up.pdf
07-08
SCTF的官方wp!SCTF的官方wp!如有侵权请私信撤回谢谢。
SCTF 2015 pwn试题分析
weixin_30819163的博客
05-11 170
Re1 是一个简单的字符串加密。程序使用了多个线程,然后进行同步。等加密线程加密好了之后才会启动验证线程。这个题比较坑的是IDA F5出来的结果不对,不知道是不是混淆机制。 刚开始看的是F5后的伪代码,一脸懵逼。后来看了下汇编才明白是怎么回事。 解密直接打表就可以,也可以写逆算法。 pwn1 用checksec看了一下保护机制,有canary+nx保护。漏洞是一个简单的栈溢出,但是...
2020 SCTF 部分WriteUp
Hk_Mayfly的博客
07-06 1516
signin 准备 signin.exe:https://wwa.lanzous.com/inIQdec11zi 程序分析 可以判断出,这个程序实际上是由Python打包成的可执行文件,且在运行这个程序时,在同目录下产生了一个tmp.dll文件,猜测是程序调用某些函数的接口。 反编译 使用archive_viewer.py反编译为字节码文件 python archive_v...
SCTF2020:SCTF2020
04-01
【SCTF2020:一场聚焦Java技术的网络安全挑战】 SCTF2020,全称为“SCTF2020网络安全技术挑战赛”,是一个专注于信息技术安全领域的年度竞赛,尤其强调了Java技术的应用。这个比赛旨在检验参赛者在Java编程、网络...
SCTF2021 pwn gadget 出题思路+预期非预期解
令则
01-19 1184
SCTF2021 pwn gadget 出题思路+预期非预期解
SCTF2021 pwn Christmas Wishes 出题思路+预期解
令则
01-19 2046
SCTF2021 pwn Christmas Wishes 出题思路+预期解
ACTF 2020 pwn
清霂的博客
04-23 255
目录fmt32shellcode 太菜了,只会写模板题 fmt32 格式化字符串模板题 #!/usr/bin/env python2 from pwn import * arch = "i386" filename = "fmt32" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) a1_addr=0x0804A070 a2_addr=0x0804A06
【SCTF2020】get_up WriteUp
古月浪子的博客
07-06 583
一道SCTF的逆向题,做了很久很久才做起,唉… IDA打开,用shift+f12查找出现的字符串,再通过x交叉引用定位到主函数 根据伪代码,大概是判断我们输入的一个长度小于等于6的字符串,跟进判断函数看一看 看到32位的a-f+0-9的字符串,盲猜哈希,又因为输入的长度小于等于6,肯定能爆破出来,于是丢到cmd5网站上,解出来“sycsyc” 成功绕过第一个判断以后,下面的代码大致意思是查找.reioc段并且改为可写,然后用刚刚输入的字符串进行异或,这里用IDCPython脚本处理一下 可以看到处
[SCTF2021 pwn] checkin
weixin_52640415的博客
12-27 1067
看上去说登录,以为是最简单的一题后来越作越想放弃,不过其它的也不会,用了半天的时间写了个程序,虽然不可能是预期的。但也算有结果。 先是给了个端口,然后就没有了。登上去提示爆4位sha256,这点没啥难度,由于有用的在后也所以肯定得写个小爆破程序,然后会返回base64编码的程序: from pwn import * import hashlib from base64 import b64decode import os context(arch='amd64') #nc 123.60.82.85
SCTF2020
doudoudedi
07-06 1572
Snake 在输入的地方有一次off by one的机会通过构造堆块重叠然后做2次double free改写got拿到shell exp: from pwn import * p=remote('39.107.244.116',9999) #p=process('./snake') elf=ELF('./snake') libc=elf.libc def add(idx,size,data): p.sendlineafter('name','1') p.sendlineafter('?',str(id
第五空间ctf2020pwn-twice
qq_36495104的博客
06-25 652
checsec ida main函数 int __cdecl main(int argc, const char **argv, const char **envp) { for ( nCount = InitData(); (unsigned int)sub_4007A9(nCount); ++nCount ) ; return 0; } sub_4007A9函数 // a1=ncount __int64 __fastcall sub_4007A9(int a1) { unsign
CTF-Pwn-[BJDCTF 2nd]snake_dyn
归子莫的博客
05-06 1164
CTF-Pwn-[BJDCTF 2nd]snake_dyn 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Pwn类,[BJDCTF 2nd]snake_dyn 使用ssh远程登录 思路 远程连接 ss...
2021长安杯—snake题解
weixin_51373492的博客
09-27 741
没报上名,只能赛后看看题,悲 elf64位,实现了一个贪吃蛇游戏,玩了一下发现过不了就开始分析了 直接开始运行,会疯狂蹦出这个东西 而且会陷入死循环 应对方法是把这玩意nop掉 然后继续分析,发现label 13是跳到gameover,所以直接通过改变函数逻辑,让程序不跳到那里就行了 这时我觉得可能直接分析下面大片代码会很繁琐,于是直接拖到最下面发现解密flag的函数 由于函数最后会print flag出来,所以我们这里可以直接通过运行程序在运行界面看到flag,而此函数中只有grid_mats是
PWN题——如何利用pwndbg实现本地调试
baidu_36110484的博客
05-19 3775
问题由来 在做ctf pwn题的过程中,一些复杂的题目可能需要借助调试工具进行本地调试。在没装pwndbg之前,使用gdb没法正常的调试。gdb attach的进程不知道为什么跟要调试的进程不是一个。虽然我在开始处下了断点,但是程序还是自顾自地运行。我在安装了pwndbg之后,执行到gdb.attach()后一直在waiting for debugger。随后找到一种解决方法,就是使用tmux终端。 下面记录一下我使用的模板,方便之后做pwn题。 python2环境下的模板 #coding:utf8 fro
和平精英美化包
最新发布
qq_74957875的博客
11-05 8869
和平精英美化包我自己写的我用蓝奏浏览器分享了[阿巴免费美化_3.5.1], 下载链接:https://wwp.lanzoup.com/iC24Y0f9yq5a 提取码 : 6666, 你可以不限速下载哦 无引流!!!!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值