- 博客(73)
- 收藏
- 关注
原创 [XYCTF新生赛]-PWN:guestbook1解析(程序自带栈迁移,off by one覆盖rbp一字节实现栈迁移)
查看保护查看ida这里可以覆盖rbp最后一个字节,而且程序会执行两次leave ret。
2024-05-04 01:33:05 30
原创 [蓝桥杯2024]-PWN:ezheap解析(堆glibc2.31,glibc2.31下的double free)
查看保护查看ida大致就是只能创建0x60大小的堆块,并且uaf只能利用一次。
2024-05-03 16:44:55 177
原创 [蓝桥杯2024]-Reverse:rc4解析(对称密码rc4)
无壳查看ida这里应该运行就可以得flag,但是这个程序不能直接点击运行按照伪代码写exp。
2024-04-27 19:46:30 290
原创 [蓝桥杯2024]-PWN:fd解析(命令符转义,标准输出重定向,利用system(‘$0‘)获取shell权限)
查看保护查看ida这里有一次栈溢出,并且题目给了我们system函数。这里的知识点没有那么复杂。
2024-04-27 17:57:02 466 1
原创 [NSSCTF]-Reverse:[GFCTF 2021]wordy解析(花指令,idapython填充机器码)
上来一看就没有main函数,直接看汇编就发现ida有部分机器码解析错误。\xeb相当于jmp 8位立即数据,\xff为Table4 reg16。这里一个一个输入有点麻烦,我直接用python脚本输出了。flag是GFCTF{u_are2wordy}这里是利用\xeb\xff来干扰ida分析的。可以用以下代码来nop掉。
2024-04-25 23:16:54 102
原创 [NSSCTF]-Reverse:[HUBUCTF 2022 新生赛]simple_RE(base64换表)
无壳查看ida可以看得出是base64,而且是换表的。
2024-04-24 22:40:28 107
原创 [XYCTF2024新生赛]-PWN:simple_srop(srop+orw,栈迁移)
查看保护查看ida这里禁掉了execve,所以考虑用orw,但是这里只有一个read,而且输入的字节数不足以输入完整的orw的srop,所以我们还得先srop调用一个read,更要紧的是连续调用srop还得设置栈顶,而我们又没有栈地址,所以只能考虑栈迁移到bss段。
2024-04-12 17:46:50 69
原创 [XYCTF新生赛]-Web:warm up(md5绕过,preg_replace()任意命令执行)
这里解释一下extract($_GET);,如果我们通过get方式传输已有值的变量,那就会覆盖原有变量。
2024-04-05 22:47:24 54
原创 [XYCTF新生赛]-PWN:static_link解析(mprotect利用,shellcode)
查看ida这里就一个输入点,并且题目没给libc库,说明很有可能用shellcode。
2024-04-04 22:54:47 126
原创 [XYCTF新生赛]-PWN:invisible_flag解析(orw,用openat代替open,用mmap代替read,用sendfile代替write)
查看保护查看ida这里没什么好说的,直接上exp。
2024-04-04 22:47:33 77
原创 [XYCTF新生赛]-PWN:hello_world(签到)解析(泄露libc_start_call_main获取libc地址)
查看保护查看ida这里的printf没有格式化字符串漏洞,但是我们依旧可以填充栈来利用printf泄露栈上信息根据我们能填充的字节数来看,我们无法泄露出libc_start_main+128的地址,但是可以泄露libc_start_call_main+128的地址,利用加上或减去相对libc_start_main的偏移依旧可以得出libc_start_main的地址,实现ret2libc。
2024-04-04 22:38:04 105
原创 [NKCTF2024]-PWN:Maimai查分器解析(orw,用openat代替open)
查看保护查看ida根据官方的wp的意思解法应该像这样。
2024-03-25 18:44:15 325
原创 [NSSCTF]-Web:[SWPUCTF 2021 新生赛]easyupload1.0解析(抓包修改文件后缀,在phpinfo找flag)
文件上传,但是会过滤后缀为php,pht,phtml。查看phpinfo,ctrl+f搜索flag。用burpsuite抓包,修改文件后缀。用蚁剑连接,发现flag,但是不对。
2024-03-18 17:53:10 303
原创 [NSSCTF]-Web:[SWPUCTF 2021 新生赛]easyupload2.0解析(文件上传一句话木马,后缀绕过)
可以试着改掉后缀名,比如改成.pht或.phtml。
2024-03-18 11:43:27 306
原创 [VCTF2024纳新赛]-PWN:ezhp_code解析
查看保护查看ida简单来说就是创建堆块和删除堆块而已,创建堆块的函数附带有写入函数。但这里要注意一个程序里面的特殊的地方在我们创建堆块时,程序会先创建一个0xa0大小堆块,并且这个地方还有个特殊的check_handle函数,如果在这个堆块地址+40的地方如果有函数地址,就会跳转执行。并且创建堆块使用的时malloc,释放堆块也并没有清空堆块内容,所以我们可以加以利用。
2024-03-17 20:53:32 236
原创 [BUUCTF]-Reverse:SimpleRev解析(字符串比较)
查壳看ida这里的中心就是两个字符串和一个计算式子,text=killshadow和str2=adsfkndcls,计算式子str2[v2] = (v1 - 39 - key[v3 % v5] + 97) % 26 + 97。
2024-03-07 16:59:11 232
原创 [BUUCTF]-PWN:starctf_2019_babyshell解析(汇编\x00开头绕过+shellcode)
查看保护查看ida这里就是要输入shellcode,但是函数会有检测。在shellcode前面构造一个以\x00机器码开头的汇编指令,这样就可以绕过函数检查了。
2024-03-05 20:14:25 285
原创 [BUUCTF]-PWN:wustctf2020_number_game解析(补码,整数漏洞)
查看保护查看ida大致意思就是输入一个数绕过if。
2024-03-02 20:27:03 182
原创 [攻防世界]-Web:fileinclude解析(文件包含,添加后缀)
查看网页查看源代码意思就是,如果变量lan被设置就会触发文件包含。但是要注意,这里的文件包含会自动加上后缀,所以payload要注意一点。
2024-03-02 01:53:49 221
原创 [BUUCTF]-PWN:oneshot_tjctf_2016解析(字符串输入,onegadget)
查看保护查看ida这道题的大致思路就是泄露libc地址,然后用onegadget来getshell但是要注意,这里要我们输入的数据类型是long int,所以不能用我们常用的p64函数了。
2024-03-02 01:10:37 197
原创 [BUUCTF]-Reverse:reverse3解析
查看ida从下图的/3和*4可以推断得出来是base64加密。ida里大致意思就是我们输入的字符串经过base64加密,循环递减,最后等于str2,那我们输入的字符串就是flag。
2024-03-01 20:34:32 157
原创 [VNCTF2024]-PWN:preinit解析(逆向花指令,绕过strcmp,函数修改,机器码)
这边其实看反汇编没啥大作用,需要自己动调。但是前面的绕过strcmp还是要看一下的。
2024-02-29 19:17:05 1683 1
原创 [NSSCTF]-Web:[SWPUCTF 2021 新生赛]ez_unserialize解析(反序列化修改属性)
查看网页这里可以查看robots.txt题目文件如下。
2024-02-28 13:44:34 263
原创 [VNCTF2024]-Web:CheckIn解析
在调试器里面我们可以看见,如果游戏通关的话,它会进行一系列操作,包括使用console.log(_0x3d9d[0]);输出_0x3d9d[0]到控制台,那我们就直接在点击在控制台求出它的值。一款很经典的游戏,而且是用js写的。
2024-02-25 18:08:46 342
原创 [VNCTF2024]-PWN:shellcode_master解析(orw,用mmap代替read读文件)
查看保护查看ida在sandbox函数中,函数先使用了seccomp_init初始化,允许了所有系统调用,再用seccomp_rule_add来禁用掉了部分系统调用,其中包括execve和readseccomp_init函数可以进行系统调用全禁用和全允许初始化seccomp_rule_add函数可以运行或禁用部分系统调用题目很明显地提示要使用shellcode,我们可以使用两种方式去编写shellcode。
2024-02-25 17:42:44 608
原创 [BUUCTF]-PWN:axb_2019_heap解析(格式化字符串漏洞,unlink,off by one)
查看保护查看ida大致就是alloc创建堆块,free释放堆块,以及fill填充堆块。
2024-02-20 00:57:52 479
原创 [BUUCTF]-PWN:ciscn_2019_es_1解析(tcachebin duf)
查看保护再查看ida大致为alloc创建堆块,free释放堆块,show输出堆块内容但是要注意一点free没有清空堆块指针。
2024-02-17 03:03:28 299
原创 [CTF]-PWN:C++文件更换libc方法(WSL)
C++文件与C文件更换libc有很多不一样的地方,我是在写buu的ciscn_2019_final_3才意识到这个问题,C文件只需要更换libc和ld就可以了,但是C++文件不同,除了更换libc和ld,它还需要更换libstdc++.so.6和libgcc_s.so.1更换libc和ld的方法我在里讲了,这里就不重复讲了。主要是把更换libstdc++和libgcc的方法讲一下。如果是用虚拟机的话也可以根据wsl的方法改一下路径,也是可以按照这个方法改的。
2024-02-16 00:10:11 1570
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人