she1p

关于本人：she1p🐏，Xp0int战队成员，一名混子pwn手 本博客会发一些比赛的wp（如果做得出来感觉有质量的题的话）和一些学习心得，假期尽量多发（尽量），欢迎各位师傅友好交流° (๑´ڡ`๑)

#NewStarCTF 2023 Week4 啊啊啊啊好多事情啊，没什么时间做题 miscR通大残stegsolve查看： flag：flag{a96d2cc1-6edd-47fb-8e84-bd953205c9f5} Nmap：这题其实可以参考这篇文章：从一道题分析Nmap SYN/半连接/半开放扫描流量TCP扫描确认端口开放的标志就是返回SYN+ACK的包，所以只需要过滤SYN、ACK状态都为1的包即可 1tcp.flags.syn==1 and tcp.flags.ack==1 flag{80,3306,5000,7000,8021,9000} 依旧是空白：png图片修复宽高： 得到密码加上有空白格，猜测是snow隐写 flag：flag{2b29e3e0-5f44-402b-8ab3-35548d7a6a11} pwnDoubledouble free 123456789101112131415161718192021222324252627282930313233343536373839404142434445from pwn import *f ...

#NewStarCTF 2023 Week3 pwn:puts or system?:第一次格式化字符串泄露libc基地址，第二次格式化字符串修改puts的got地址为system，但puts(‘/bin/sh’)时即system(‘/bin/sh’) 1234567891011121314151617181920212223242526272829303132333435from pwn import *from LibcSearcher import *context(log_level='debug',arch='amd64',os='linux')#context.terminal = ['tmux', 'splitw', '-h']p=process('./putsorsys')p=remote('node4.buuoj.cn',28817)elf=ELF('./put ...

NewStarCTF 2023 Week2pwn:ret2libc:ret2lbc板子题 123456789101112131415161718192021222324252627282930313233343536373839from pwn import *from LibcSearcher import *context(log_level='debug',arch='amd64',os='linux')#context.terminal = ['tmux', 'splitw', '-h']p=process('./ret2libc')p=remote('node4.buuoj.cn',29115)libc=ELF('libc-2.27.so')elf=ELF('./ret2libc')sa = lambda a,s:p.sendafter(a,s)sla = lambda a,s: ...

NewStarCTF 2023 Week1pwn:ret2text：简单的栈溢出题，没开canary和pie，有后门地址，直接溢出返回后门地址getshell exp: 1234567891011121314151617181920from pwn import *context(log_level='debug',arch='amd64',os='linux')p=process('./ret2text')p=remote('node4.buuoj.cn',26822)elf=ELF('./ret2text')sa = lambda a,s:p.sendafter(a,s)sla = lambda a,s:p.sendlineafter(a,s)s = lambda a:p.send(a)sl = lambda a:p.sendline(a)ru = lambda s:p.recvuntil(s)rc = lambda s:p.recv(s)uu64=lambda ...

2023羊城杯部分wp比赛时脑抽了，背大锅呜呜呜，简单写写记录下 pwnarrary_index_bank:整数溢出，没什么好说的，“1”能泄露libc地址，“2”输入0x800000000000000f能修改返回地址。 1234567891011121314151617181920212223242526272829303132333435363738from pwn import *from LibcSearcher import *context(log_level='debug',arch='amd64',os='linux')p=process('./pwn')#p=remote('10.1.114.2',10000)elf=ELF('./index')libc=ELF('./libc-2.31.so')sa = lambda a,s:p.sendafter(a,s)sla = lambda a,s:p.sendlineafter(a,s ...

Nepctf2023 WPmisc:Checkin:签到题直接交 陌生的语言：根据提示可以搜到小魔女学园，搜索里面的语言发现有个帖子： 古龙语和新月文字， 对照得到： NepCTF{NEPNEP_A_BELIEVING_HEART_IS_YOUR_MAGIC} 小叮弹钢琴：音频放大得到一串十六进制数，但不知道咋用，前面还有一串不知道是啥 听完之后明显的摩斯密码解码： -.– — ..- … …. — ..- .-.. -.. ..- … . - …. .. … - — -..- — .-. … — – . - …. .. -. –. 说明得去异或一下，但得转为小写 1234567891011121314import binasciix='370a05303c290e045005031c2b1858473a5f052117032c39230f005d1e17'a=0n='youshouldusethistoxorsomething'z=b''for i in range(len(n)): str=x[a:a+2] ...

emmmm，做了三道签到题就做不动了 Pwnfcalcpwn的签到题？简单写写思路 逻辑不难，模拟1-100的浮点数的加减乘除，然后栈可执行： 明显栈上写shellcode，想办法跳到shellcode执行 先解决第一步：如何跳到shellcode执行 跳到shellcode：通过逆向分析加调试，加减乘除的函数地址放在这里，而最后0x5555555580e0这里还存储着输入浮点数的位置 这里执行输入+、-、*、/，如果我们输入“0”，既能符合前面的判断，也能执行0x5555555580e0这里的地址，所以就可以跳到shellcode执行 写入shellcode：通过gdb调试可以知道填充0x38个字节后就能到存储小数的位置： 所以第一次写入超长的小数并带入shellcode，小数长度要0x48，因为需要写入两个小数，总共占用了0x10个字节，写到这本来以为再写入个小数，写入个“0”就完成了，运行后不通才发现它还检测了存储小数的所有位置要满足大于1小于100，这就使得直接生成的shellcode不满足这个条件，后面网上查了一下，1-100的范围为：3FF00000000 ...

4639d960d2787785cfc28b907111e2de9d8550b18017e22e4dc2ade0a62eec6dc51eccb977925afa0aeb1ed9f87a39c7113127c9f3778a0a4c52de42f087b8ccec74cec7001264ade3ab14d6fb85f1adf5ed0269f505809e6d6ef74b2b7967740555d2d80a614ec133d7d724d37e46b255c69e2364c2dfe463f9fca8487eeb109f7331936b2ec03e62a3983054c41fdf98ae4af2d7489acbbb078e79aa3f3f7c9b0909cd9967104ac5a19fe48328d8df6f8012ac57db0c7bfc37a732f60d6f41db4ec3c2cee56443c6f757bcd085b1596abeba685b2d347ed3083de190fc7e39b8a64d1044f6c0ee9f4433abcf587d9d061a89e8090202fe2 ...

4639d960d2787785cfc28b907111e2de9d8550b18017e22e4dc2ade0a62eec6dc51eccb977925afa0aeb1ed9f87a39c7113127c9f3778a0a4c52de42f087b8ccec74cec7001264ade3ab14d6fb85f1adf5ed0269f505809e6d6ef74b2b7967740555d2d80a614ec133d7d724d37e46b255c69e2364c2dfe463f9fca8487eeb109f7331936b2ec03e62a3983054c41fdf98ae4af2d7489acbbb078e79aa3f3f7c9b0909cd9967104ac5a19fe48328d8df6f8012ac57db0c7bfc37a732f60d6f41db4ec3c2cee56443c6f757bcd085b1596abeba685b2d347ed3083de190fc7e39b8a64d1044f6c0ee9f4433abcf587d9d34d2a529716765303 ...