buuctf pwn

BUUCTF刷刷基础题先，打牢下基础 test_your_nc 就非常经典的起引导作用的nc题 格式：nc IP 端口 rip checksec一下 发现开启了部分地址随机化，其它保护什么也没开，有可读写权限，再来看看源代码 发现有gets()函数（并不会限制输入的字节数），也有system("/b ......

题目 提示： 给你一个压缩包，你并不能获得什么，因为他是四位数字加密的哈哈哈哈哈哈哈。。。不对= =我说了什么了不得的东西。。 注意：得到的 flag 请包上 flag{} 提交 题目： （一个 rar 文件 分析 下载附件得到一个压缩包，如题，打开压缩包需要密码： 用 ARCHPR 按四位数字暴力 ......

题目 提示： 黑客通过 wireshark 抓到管理员登陆网站的一段流量包（管理员的密码即是答案) 注意：得到的 flag 请包上 flag{} 提交 题目： （pcap 文件 分析 根据提示，我们需要找到管理员的密码。一般密码这类机密性高的信息会通过 POST 请求提交数据，于是打开文件，过滤出 ......

题目 提示： 乌镇互联网大会召开了，各国巨头汇聚一堂，他们的照片里隐藏着什么信息呢？（答案格式：flag｛答案｝，只需提交答案） 注意：得到的 flag 请包上 flag{} 提交 题目： （jpg 图片 分析 （题外话，这个提示的要求还真是迂回…… 打开属性，空空如也。用 010 Editor 打 ......

题目 （一个 exe 文件 分析 双击文件发现打不开，用 010 Editor 打开是一条字符串： 看开头的内容应该是图片类型的文件，之后是一长串 Base64 的编码。 先对 Base64 的编码进行解码： 得到一串以 PNG 开头的乱码，看起来像个 PNG 文件。 ctrl+z 回到刚才的 ba ......

Pwn2own 2022 Tesla 利用链 （ConnMan 堆越界写 RCE） Opening the doors and windows 0-click RCE on the Tesla Model3 HEXACON2022 - 0-click RCE on the Tesla Model 3 ......

Pwn2own 2023 Tesla 利用链摘要 https://www.youtube.com/watch?v=6KddjKKKEL4 ‍ ‍ ‍ 攻击链： 利用蓝牙协议栈自己实现的 BIP 子协议中的堆溢出，实现任意地址写，修改函数指针 ROP 修改蓝牙固件，由于 wifi 和 蓝牙固件位于同一 ......

还是先查一下程序保护情况 然后看一下代码逻辑 可以发现这里的代码还是挺多的，这里讲一下几个关键部分，首先是开头的addr = (__int64)mmap(0LL, 0x1000uLL, 7, 34, -1, 0LL);将addr这个地址开始的地方变成rwx权限，我们看一下这个地址是哪里 发现addr ......

这道题没给附件，直接就是nc 这个题目的意思是，我们随机输入一个数，然后发给我们一段base64加密后的密文，真正num就在里面，我们现在写个pwntools脚本提取一下这段base64密文，解密一下，看看是什么东西 exp： io=remote("node4.anna.nssctf.cn",280 ......

题目 提示： 看不到图？ 是不是屏幕太小了 注意：得到的 flag 请包上 flag{} 提交 题目： （ png 图片 分析 屏幕太小？放大图片没发现什么异常。 看属性啥也没；用 StegSolve 切换通道一切正常；010 Editor 打开文件头没问题，找 flag……眼睛快瞎了！……不是这么 ......

misc1. 题目给出了 misc2. 这道题吧，就只能眼快或者一帧一帧看，动态图里面夹杂着flag misc3. 将图片转化为txt的形式，打开划到最后，就可以找到flag misc4. 先解压得到一张二维码，然后放在在binwalk里面 进行爆破得到密码，最后就可以得到flag啦，注意要将CTF ......

看一下程序的保护状态 开了canary，接着看一下代码逻辑 可以发现，这里有格式化字符串漏洞，同时gets函数有栈溢出漏洞，现在只需要确定我们输入到buf的内容在格式化字符的第几个参数就行 可以确定buf在格式化字符串的第8个参数，又因为buf的偏移是0x20,所以canary在11个参数，因为ca ......

检查一下保护状态 接着ida看代码逻辑 看func函数 第一次看真没发现有什么漏洞，题目给了backdoor，虽然strlen可以\x00绕过，但是strcpy函数也限制漏洞的实现。仔细看的话，会发现v3的类型是 unsigned __int8 v3; 说明v3是一个字节来表示的，可表示的范围只有0 ......

crypto1. 得到一串字符串，可以用base64编码解码工具之间进行解密 crypto2. 标题直接写了MD5，所以用md5解密（数字与字母的组合）可直接解出 crypto3. 同理第三题，用url工具 crypto4. 用凯撒密码解决并且将偏移量改为13 crypto5. 摩斯密码直接得出 c ......

1. easyre exeinfo查壳 64位，无壳，用ida64打开 首先查看字符串表 发现flag 2.reverse1 exeinfo查壳 64位，无壳，用ida64打开 首先查看字符串 发现疑似flag的字符串 查看引用该字符串的函数 Str2即是该字符串。注意到有一个strcmp（）函数， ......

这是我打的第一次比赛，主打的pwn方向，纪念我的成长 需求：一定的linux系统的命令指令知识，基础的汇编代码，配置好了的虚拟机（打pwn建议是ubuntu)，pwntools的使用,python的使用,ROPgadget的使用 每次把文件拖入IDA前记得用Exeinfope进行检查一下，看是x86 ......

题目 分析 下载的压缩包解压得到一个 png 格式的二维码，QR Research 扫码得到字符串 secret is here，作为 flag 提交结果是错的。 可恶，用 010 Editor 打开试试。文件开头为 PNG 的图像开始标识 89 50，但结束标识 60 82 并不在文件末尾。PNG ......

栈迁移的利用的过程不是很复杂，原理方面是比较麻烦：栈迁移原理介绍与应用 - Max1z - 博客园 (cnblogs.com) 这里简述一下栈迁移的利用过程： 我们先来看一下这道题的程序保护情况： 开了canary，接着看代码逻辑 这里的printf("Hello, %s\n", buf);可以发现 ......

题目 我们得到了一串神秘字符串：TASC?O3RJMV?WDJKX?ZM,问号部分是未知大写字母，为了确定这个神秘字符串，我们通过了其他途径获得了这个字串的32位MD5码。但是我们获得它的32位MD5码也是残缺不全，E903???4DAB????08?????51?80??8A?,请猜出神秘字符串的 ......

这道题是简单的libc，不过多分析了 exp： from pwn import * from LibcSearcher import * io=remote("node5.anna.nssctf.cn",28341) elf=ELF("./pwn") put_got=elf.got["puts"] ......

拿到程序先查一下保护状态 可以发现保护全开，再看一下程序的逻辑 可以发现，这里有一个fork函数： C语言中的fork()函数用于创建一个新的进程，该进程是原始进程（父进程）的一个副本。这个副本将从fork()函数之后的代码行开始执行，父进程和子进程在此处分别继续执行不同的代码。fork()函数的返 ......

题目 分析 F12 打开查看器，只有一个 php 文件，URL 为 http://9862c108-f9d1-4746-aeb0-848c1e0d8147.node4.buuoj.cn:81 点 tips 看看，啥也妹有，URL 为 http://9862c108-f9d1-4746-aeb0-84 ......

1.发现是bese加密，直接使用在线工具解开 2.MD5加密，直接使用在线工具解开 3.url加密，直接使用在线工具解开 4.使用ctf工具随波逐流乱杀。乱杀 5.摩斯密码，直接ctf工具随波逐流乱杀 6.根据提示，张三的缩写，加上生日刚好满足flag的格式 7.凯撒变异密码，使用脚本直接弄出来了 ......

查一下程序保护情况 发现是partial relro，说明got表是可以修改的，下一步看代码逻辑 看到这一段 puts(&seats[16 * v0]);存在数组越界的漏洞，因为上面的代码没有对v0进行负数的限制，v0可以是负数，我们来看一下seat的数据 可以发现seat上面的数据就是got表，s ......

查看程序保护 发现开了pie： partial write(部分写入)就是一种利用PIE技术缺陷的bypass技术。由于内存的页载入机制，PIE的随机化只能影响到单个内存页。通常来说，一个内存页大小为0x1000，这就意味着不管地址怎么变，某条指令的后12位，3个十六进制数的地址是始终不变的。因此通 ......

题目 分析 用鼠标划了半天，好像不能撸（ F12 打开控制台，在查看器里看到一条 PHP 注释 $cat=$_GET['cat']; echo $cat; if($cat=='dog'){ echo 'Syc{cat_cat_cat_cat}'; } 分析一下注释： $cat=$_GET['cat' ......

查一下程序保护状态 保护全开，看一下代码逻辑 逻辑比较简单，就是输入一个用户名，然后进行随机数运算，这里可以使用ctypes模块，形成和服务器那边一模一样的随机数 from pwn import * import ctypes context(os='linux',arch='amd64',log_ ......

先查看程序的保护状态 可以看到，保护全开，拖进ida看主函数的逻辑 可以看到有个mmap函数： mmap() 函数是Unix和类Unix操作系统中的一个系统调用，用于在进程的地址空间中映射文件或者其它对象。这样做的好处是可以让文件直接映射到内存中，从而避免了频繁的文件 I/O 操作，提高了文件的读取 ......

题目 靶机界面 URL：http://86ae5adf-d39e-47dd-b3da-1ae895847925.node4.buuoj.cn:81/ 分析 先在交互界面随便输入用户名和密码试试，界面显示如下： 此时的 URL 为 http://86ae5adf-d39e-47dd-b3da-1ae8 ......

题目 Math is cool! Use the RSA algorithm to decode the secret message, c, p, q, and e are parameters for the RSA algorithm. p = 964842302901051567659055 ......