- 博客(25)
- 收藏
- 关注
RSS订阅原创 mrctf2020_shellcode_revenge
下载附件,checksec一下;存在可读可写可执行的段;看一下IDA pro的汇编;和先前的题目类似,先read也给0x400bytes的字符串,然后compare一下eax和0;jg表示jump if greater,如果eax>0则跳转,否则eax为0,跳到另一个地址;接下来看到很多判断语句,截取其中一部分进行分析;这里比较al和`的大小,jle表示jump if less or equal,即小于等于;如果al<=60h,则跳转到11DA,如果al<=7Ah,则跳
2021-04-24 11:13:41
772
1
原创 pwnable_orw
file orw;32位程序;checksec;IDA pro分析;main函数下可直接执行shellcode;但是存在沙箱,只能执行open、read、write等几个系统函数;seccomp-tools dump ./orw显示允许使用的系统调用函数;这里想的是:open('/flag')read(3,buf,0x66) #这里3是因为一般stdin、stdout、stderr占用了0,1,2;write(1,buf,0x66) #这里1为标准输出;buf可读可写;这
2021-04-23 00:16:33
385
1
原创 ciscn_2019_s_9
下载附件,file一下,是32bit程序;checksec一下;基本没保护措施;IDA里分析一波;main()跳到pwn();看看pwn()的内容;看到fgets立马想到栈溢出;又注意到有一个hint()函数;其内容如下:这里直接跳到了$esp,$esp是在堆栈上的;既然有栈溢出,栈可执行,又有一个跳转到$esp的函数,思路就很清晰了;我们先利用栈溢出,覆盖pwn()函数的返回地址为jmp esp的地址,然后我们再使得$esp指向shellcode所在的地址,完美!但是因为
2021-04-22 01:13:28
842
原创 mrctf2020_shellcode
拿到附件后,先file一下;看到是个64bit的程序,拖到ida64里;再checksec一下附件,看看保护情况;栈没有保护,有可读可写可执行的段;可以dbg调试一下,看看具体情况;可以看到有一个段可读可写可执行,栈也确实没有什么保护;现在去IDA分析一下程序;变量参数如下可以看到前几行在设置标准输入输出和错误;接着输出"Show me your magic!";然后read一个400bytes的数据;接着是关键代码,将$eax赋值给[rbp+var_4],接着与0进行比较
2021-04-21 23:37:02
600
1
原创 [羊城杯 2020]Blackcat
访问页面,view-source一下;题目暗示要听歌;点开mp3文件,在结尾发现了php源代码;if(empty($_POST['Black-Cat-Sheriff']) || empty($_POST['One-ear'])){ die('谁!竟敢踩我一只耳的尾巴!');}$clandestine = getenv("clandestine");if(isset($_POST['White-cat-monitor'])) $clandestine = hash_hmac(
2021-04-04 22:39:44
1149
1
原创 [CISCN2019 华北赛区 Day1 Web1]Dropbox
打开靶机,注册一个账号,发现可以上传文件,只能上传png或者是jpg文件,上传之后可以选择下载文件或者查看文件;先看看有没有上传文件的漏洞,并没有测试出来,转而看看是不是任意文件下载的漏洞;抓包修改filename值;这里先看看index.php的源码,最终发现是在上两级目录里,查看到了源码;<?phpsession_start();if (!isset($_SESSION['login'])) { header("Location: login.php"); die()
2021-03-28 14:58:42
132
原创 [GYCTF2020]Ezsqli
访问页面,大孝子的微笑让我只能暗自庆幸现在是公司的午休时间;我果断抓包测试,不能在原页面上测;输入框填个1,返回了Nu1L;输入1',返回bool(false);这可是一个关键信息,可能是布尔盲注;fuzz一下,过滤的应该是符号+关键字+符号;所以or会被过滤, 直接用||代替就好了;试试布尔注入;-1||length(database())>1则返回结果为true,输出结果为Nu1L;当返回结果为false,输出结果为Error Occured When Fetch Res
2021-03-26 11:54:33
282
2
原创 [HFCTF2020]EasyLogin
访问页面,是个登录界面,view-source也没看到啥提示;在注册界面view-source,看到一个js文件;打开来看看,是js源码泄露;/** * 或许该用 koa-static 来处理静态文件 * 路径该怎么配置?不管了先填个根目录XD */function login() { const username = $("#username").val(); const password = $("#password").val(); const token
2021-03-24 23:51:32
407
1
原创 [CSCCTF 2019 Qual]FlaskLight
访问页面,view-source一下;提示说有参数search,方法为GET;既然题目有个Flask,可以试试模板注入漏洞;?search={{7*7}}结果返回49;首先访问对象的继承类;{{ ''.__class__.__more__ }}得到选择第三个类;{{ ''.__class__.__mro__[2].__subclasses__() }}在输出结果里面找到file类,来进行读写;{{ ''.__class__.__mro__[2].__subclasses__(
2021-03-24 07:08:11
211
原创 [HITCON 2017]SSRFme
访问页面,代码审计;<?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_headers[0]; } echo $_SERVER["REMOTE_ADDR"]; $sandbox =
2021-03-24 06:03:17
213
1
原创 [CISCN2019 华北赛区 Day1 Web5]CyberPunk
访问页面,view-source一下,发现最下边有提示传参?file=;伪协议读一下源代码;?file=php://filter/convert.base64-encode/resource=index.php得到的base64值解码;这里只提取php代码;<?phpini_set('open_basedir', '/var/www/html/');// $file = $_GET["file"];$file = (isset($_GET['file']) ? $_GET['fil
2021-03-24 04:56:15
150
1
原创 [RCTF2015]EasySQL
访问页面,有login和register两个选项;那当然是register啊,先fuzz测试一下有哪些字符进了黑名单;200是被ban的,302是没有被ban 的;
2021-03-23 22:04:24
167
原创 [Zer0pts2020]Can you guess it?
访问页面,点source看源码; <?phpinclude 'config.php'; // FLAG is defined in config.phpif (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you are thinking, but I won't let you read it :)");}if (isset($_GET['source'])) {
2021-03-23 13:42:39
125
原创 [网鼎杯 2018]Comment
首先访问题目链接;试了一下xss,弹出一个登录框,需要登陆;查看源码的时候发现了有write_do.php这个文件;想到会不会有git泄露;我用的是gitExtract;发现果然有git泄露,看看源代码;看看都拿到了什么文件;第一个write_do.php中代码有缺省的情况,看了网上发现大家都用的是git恢复;第二个文件write_do.php.8ef569就是源代码文件了,具体我也没有去分析GitExtract的代码是什么,可能是直接就尝试git恢复了;这里把源码贴出来好分析;&
2021-03-23 10:10:29
172
原创 [CISCN2019 总决赛 Day2 Web1]Easyweb
访问页面;看到login页面不能心急,先进行一波信息收集,看看有没有其他文件;在view-source中看到user.php;再看看robots.txt等等;也可以用wctf-scan扫一下;可以看到有备份文件;扫描一下,得到image.php.bak文件;以下为源码:<?phpinclude "config.php";$id=isset($_GET["id"])?$_GET["id"]:"1";$path=isset($_GET["path"])?$_GET["path
2021-03-15 14:33:01
145
原创 [WUSTCTF2020]颜值成绩查询
访问页面;分别输入1,2,3,4,为4个不同的结果,根据提示猜测应该是SQL注入;在测试了各种类型的注入后,锁定为布尔注入;首先输入if(length(database()>1,1,0)输出了stunum=1的结果;当输入if(length(database()>10,1,0)则输出了stunum=0的结果;这样我们就可以写脚本;import requestsimport timeflag = ""for i in range(1, 100): low =
2021-03-11 00:39:37
245
原创 [FBCTF2019]RCEService
访问页面,要求以JSON格式输入要执行的命令代码;尝试一下?cmd={"echo":"'hello,wolrd'"}结果被过滤了;思考了一下,觉得可能是cmd对应执行命令;试试?cmd={"cmd":"ls"}结果成功执行了;现在来找找flag;输入?cmd={"cmd":"ls /"}很不幸被过滤了;试了很多种方法,都会被过滤;思考了一下, 可能使用正则表达式去匹配的关键字;如果不能正常得绕过关键字,那就把preg_match绕过吧;preg_match只匹配第一
2021-03-10 12:00:57
229
原创 [MRCTF2020]套娃
访问页面,查看源代码,有一段PHP代码提示;首先可以看到对输入的参数做了过滤,我们需要让b_u_p_t这个参数的值等于23333,但是不能是数字形式,而且第一个if会过滤下划线;如果用空格,也就是%20代替下划线,可以起到同样的效果;如果数字字符串到末尾遇到换行符,即%0a,会将数字字符作为字符串处理;所以payload为?b%20u%20p%20t=23333%0a访问后,得到信息,尝试修改一下XFF;修改发送,但是没有用,看了一下源码,这东西好像在知乎上看到有人发过;了解了一下,
2021-03-09 10:09:00
244
原创 [极客大挑战 2019]RCE ME
访问页面,上源码;<?phperror_reporting(0);if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long."); } if(preg_match("/[A-Za-z0-9]+/",$code)){ die("NO."); } @eval($code);}else{ highl
2021-03-08 23:44:40
344
原创 [BSidesCF 2019]Futurella
访问页面,上来就是火星文;右键查看一下源代码???这我都不好意思发布文章了…flag{8be4aa0b-ad12-4042-961c-7ada92e9efe3}
2021-03-08 22:36:21
421
2
原创 [GWCTF 2019]枯燥的抽奖
访问页面;查看页面的源代码,可以发现存在名为check.php的文件;访问则得到check.php的源代码,是生成随机种子的代码;<?php#这不是抽奖程序的源代码!不许看!header("Content-Type: text/html;charset=utf-8");session_start();if(!isset($_SESSION['seed'])){$_SESSION['seed']=rand(0,999999999);}mt_srand($_SESSION['seed
2021-03-08 16:44:04
156
原创 Smarty SSTI--[CISCN2019 华东南赛区]Web11
Smarty SSTI–[CISCN2019 华东南赛区]Web11访问页面,页脚提示smarty;根据先前对Smarty的接触,比较了解的是SSTI的漏洞;题目提示了XFF,试一下XFF处有没有SSTI漏洞注入点;抓包修改,添加XFF;{{7*7}}可以注意到response的信息中,有一处变化;证明确实存在SSTI漏洞;输入{$smarty.version}以获得对应的smarty版本;输入{$smarty.template}以返回当前的模板文件的名称;输入{i
2021-03-08 11:11:45
200
原创 Redis 未授权访问与Get Shell漏洞
Redis 未授权访问与Get Shell漏洞漏洞原理与危害Redis默认情况下,会绑定在默认端口,如果没有采用相关策略,例如 ①防火墙拦截非信任IP ②端口屏蔽会将Redis服务器暴露在公网上,如果没有设置口令认证,会导致任意用户在访问目标服务器时能够未经授权便访问Redis以及其数据。利用Redis自身提供的config命令进行写文件操作,可以将自己的SSH公钥写入目标服务器的/root/.ssh文件夹的authotrized_keys文件中,进而可以使用对应私钥直接使用ssh服务登陆目标
2020-11-20 18:22:39
1033
1
原创 《Web安全攻防渗透测试实战指南》学习笔记
学习笔记第一章 渗透测试之信息收集第二章第三章第一章 渗透测试之信息收集知己知彼,百战不殆 ——《孙子兵法》信息收集:1. 服务器的配置信息1. 网站敏感信息具体细节:1. 收集域名信息:域名->域名注册信息:DNS服务器信息、注册人信息 方法: 1)Whois查询 i. Whois是一个标准的互联网协议,可用于收集网络注册信息,注册的域名,
2020-06-17 20:21:41
3829
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人