首页 > TAG信息列表 > recvuntil
暑假集训6.28
[GWCTF2019]math pwntools交互题,连接环境 要成功计算150次式子,中间停顿几秒就会终止 在把环境的源代码放进IDE,F5查看代码,在计算正确150次后会进入进入目标系统的/bin/sh文件夹 int __cdecl main(int argc, const char **argv, const char **envp) { unsigned int seed; /[BUUCTF]刷题记录:hitcontraining_uaf
hitcontraining_uaf 1.checksec: 2.ida分析: 1.main函数: ) 2.menu菜单函数: 根据输入的数字提供程序的不同功能,一共有add,delete,print,exit四个功能: ) 3.add函数: 4.free函数: free之后没有将指针置为0,存在uaf漏洞: 5.print函数: 6.magic函数(后门函数): 3.利用思路: 先用add两次申请攻防世界-进阶练习-2021-12
WP XCTF House /proc/self/maps 和 /proc/self/mem 虚拟内存泄露 + ROP or FSOP + 栈迁移 这道题好难 保护全开 程序分析 似乎开了沙盒;检查确认下; 看来不能用execve获取shell了;试试orw。 v8 = (char *)mmap(0LL, 0x10000000uLL, 3, 131106, -1, 0LL);程序先mmap出一块可写的PRO利用realloc调整栈使one_gadget生效
前言 当堆题保护全开的时候。PIE保护几乎使得unlink失效(除非能够计算出程序基址),FULL RELEO也使得函数GOT表不可修改。此时常覆盖各种函数的hook为one_gadget来getshell。 我常考虑的顺序是: free_hook->malloc_hook->IO_FILE->exit_hook 若有沙盒限制,则考虑setcontext 当free_[ZJCTF 2019]Easy Heap
通过ida分析程序可以得知 该程序存在堆溢出漏洞 题目中的后门是假的(利用不了 对堆进行编辑的时候 这里写入内容的大小是可以自定义的 所以这里是存在漏洞的 利用思路: 创建chunk 0 1 2 ,chunk1 写入/bin/sh 同时填入垃圾数据 覆盖到chunk2 的 fd指针的位置(free后)fd指针指向的位置house of force
House of force是一个堆的小利用技巧,要想利用它需要满足两个条件: 1、可以通过溢出修改 top chunk 的 size 2、分配堆的大小没有限制 通过把 top chunk 的size 改的很大,再malloc一个特定的size,使 top chunk 的位置 恰好在目标位置 -0x10 的位置上,再进行分配时,即可分配至目标地址。ctfshow 摆烂杯 pwn
半年没做过pwn题了,试着用这个比赛的题来捡一捡知识点。 dota main函数中需要绕过两个判断才能进入存在漏洞的函数。 第一个判断很简单,输入“dota”就行了。 第二个判断,需要先让v5小于0,在经过v5=-v5之后,继续让v5小于0,看看汇编是怎么样的。 NEG是汇编指令中的求攻防世界 Pwn int_overflow
攻防世界 Pwn int_overflow 1.题目下载地址2.checksec2.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 没有canary没有PIE 2.IDA分析 在check_passwd函数中有一个strcpy函数当v3>3u且v3<8u进入else。else中把s的值复制到dest,如果s的值够长,就能造出栈溢出。但是3<v3首届“鹤城杯”河南·鹤壁CTF网络安全挑战赛部分WP
首届“鹤城杯”河南·鹤壁CTF网络安全挑战赛WP 公众号:Th0r安全 文章目录 首届“鹤城杯”河南·鹤壁CTF网络安全挑战赛WP12345easy_sql_2middle_magiceasy_sql_1EasyPHPSpringeasy_cryptoa_cryptobabyrsaCrazy_Rsa_Techlittle ofBabyofPWN1PWN2PWN3PWN4PWN5PetitionMobile1write up -- Buu magicheap
简介 buu上的题,着重练习一下堆的解题思路。 附件是64位小端的可执行程序 我们直接ida分析一下吧 这个就是main函数的具体的逻辑是个很明显的菜单题目,一般先看申请堆块的选项,再看free堆块的选项。 我们先来看看申请堆块的选项create_heap() 可以看到除了没有限制申请堆块的大小[pwnable] 3x17 wp
title: 3x17 description: pwnable | elf文件格式 | ROP ##题目考点 elf文件格式ROP ##解题思路 先checksec,amd64,有nx(其实也有canary但没检测出来),没开PIE,拖入ida进行分析,发现扣掉了符号表; readelf -h一下,找到程序入口点,标准的start函数: ; Attributes: noreturn fuzzy-sBUUCTF 2021-10-4 Pwn
文章目录 保持手感echo分析EXP Pwnme1分析EXP wdb_2018_1st_babyheap分析EXPFSOP houseoforange_hitcon_2016分析前置知识House_of_orangeFSOP EXP zctf_2016_note3分析EXP gyctf_2020_document分析EXP动态调试复现 护网杯_gettingstart分析EXP picoctf_2018_buffer overfhorcruxes
Voldemort concealed his splitted soul inside 7 horcruxes.Find all horcruxes, and ROP it!author: jiwon choi ssh horcruxes@pwnable.kr -p2222 (pw:guest) 题目开启了seccomp,初始随机生成了7个数,有一个ropme函数,让你输入一个数,如果这个数和随机生成的数一样就进入一个函time_formatter
题目描述:将UNIX时间转换为日期是很困难的,所以玛丽编写了一个工具来完成这个任务。 程序存在UAF漏洞,当选择exit然后不退出时,程序仅仅free掉了两个指针,但没有置空 strdup也会调用malloc来为新字符串提供空间 因此考虑将 __int64 __fastcall print_your_time() { char command[记一次比赛复现
WEB super_php <?php error_reporting(E_NOTICE); highlight_file(__FILE__); @session_start(); $username = @$_GET['username']; if(!@isset($username['admin'])||$username['admin'] != @md5($_SESSION['username'])) {die(&buuoj Pwn writeup 276-280
276 axb_2019_final_blindHeap 朴实而无华。 参考了大佬。 盲打一篇过 exp做了一点点调整。 from pwn import * all_commodity=1 just_one=2 context.log_level='debug' context.arch='amd64' context.log_level = "debug" # file_name=ELF("./") libc=ELF(&水几个pwn
author: moqizou 2020-羊城杯-signin 签到题目2.23的glibc add - 最多10个chunk然后会malloc(0x28)之后就是namesize结构体如下 0x10 chunk 头 0x8 1 inuse位置 0x8 buf->name_chunk 0x8 23字节的message 0x8 看上面可以溢出 然后会把该chunk指针 存入全局table view 通过stack2
题目来源: XCTF 4th-QCTF-2018 题目描述:暂无 程序在change number功能里面没有对下标进行检验,因此可以任意写地址,因此将返回地址更改即可 这题目有点问题,给的后门函数是system("/bin/bash"),但是调用之后会提示你找不到bash,但是也能做 方法是自己构造调用,将返回地址处更改为pItem Board
nc pwn2.jarvisoj.com 9887 Hint1: 本题附件已更新,请大家重新下载以免影响解题。 ItemBoard.rar.6da1c739ca3041f37c37a9c0cf99afca 函数free过程中,set_null是空的,程序存在着UAF void __cdecl new_item() { int v0; // eax char buf[1024]; // [rsp+0h] [rbp-4[XMAN]level6
nc pwn2.jarvisoj.com 9885 Hint1: 本题附件已更新,请大家重新下载以免影响解题。 level6.rar.69c5609dc9bab6c458b9c70d23e9445d 之前的guestbook2的32位版本 exp如下: from pwn import * def list_note(): io.recvuntil('Your choice: ') io.sendline('1'2021 蓝帽杯半决赛 write up
蓝ciscn_lonelywolf
lonelywolf from pwn import * context.arch = 'amd64' context.log_level='debug' p=process('./pwn') libc=ELF('./libc-2.27.so') #p=remote('124.71.235.219',25196) def add(idx,size): p.recvuntil('Your2021全国大学生信息安全竞赛WP(CISCN)
CISCN_2021_WP 概述ciscn_2021_lonelywolf总结 概述 作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构pwny
checksec发现保护全开,程序扔入IDA 发现程序支持两个功能,读和写 读入部分: 其中0x202860为一个文件标识符,对应的是/dev/urandom,获取的是随机数,程序输出0x202060 + 8 * v1 处的数据 写入部分: 允许输入一个v2,程序在0x202060 + 8 * v2处写入一个字长的随机数 发现读津门杯pwn
目录 hello 嘿嘿,单独发纪念一下,首次在国内比赛做出一道pwn题(23/59) hello #!/usr/bin/env python2 # coding=utf-8 from pwn import * arch = "amd64" filename = "hello" context(os="linux", arch=arch, log_level="debug") content = 0 offset =