akdelt的博客

又出现 debug 页面了。而且还得换 RCE9。Laravel RCE3 用不了了，我们用 4。生成后发现不行，反序列化结果会被调试页面覆盖。我们已经知道原理了，直接工具打吧。生成链子，这里我们用 RCE3。然后访问 1.txt 就行了。查看各种应用各种版本的链子。写一个脚本遍历所有 rce。快一点吧直接工具梭哈了。但是没有回显，写🐎进去。然后访问 1.txt。

当应用程序试图对无权访问的内存地址进行读写操作时,会调用 sigsegv_handler 函数,sigsegv_handler 函数 会把stderr打印输出,即将flag的值打印输出那么我们直接输入超长数据就会溢出，程序就会崩溃进而打印出flag。char dest;该函数无法限制输入的长度，可能会超出s数组的容量，导致覆盖栈上的其他数据或执行任意代码。这也是明显的栈溢出漏洞,且提供后门函数 get_flag()堆栈不可执行，不过有后门函数，跟进 ctfshow 函数，read 可以读取 50 个字节。

esi 存储的是 msg 的地址，然后寄存器间接寻址把 msg 地址的内容拿出来给 eax 了。我们直接用 ida 看看 080490E8 地址上的值就行了。:运行此文件，将得到的字符串以ctfshow{xxxxx}提交。计算一下 eax 寄存器的值就行了（好臭的 flag，悲。所以我们把下载好的 elf 文件拿去执行即可。:寄存器间接寻址方式结束后eax寄存器的值为？: 立即寻址方式结束后eax寄存器的值为？：寄存器寻址方式结束后edx寄存器的值为？：直接寻址方式结束后ecx寄存器的值为？

ida64 看一下，原来直接就把执行 shell 权限给我们了（喜。nc 连接 输入 “CTFshowPWN”,拿到 shell。直接 nc 连一下程序，直接可以执行 shell 了（雾。ssh 连接后等一段时间拿到 shell。新版看不了架构（悲 用 file 命令。直接运行程序，选择 6 答案就出来了。所以我们的目的是让 s1 = s2。还是把文件下下来分析一下吧。nc 连上就给 flag。checksec 一下。

一个 279 次，一个 282 次。stegsolve 打开，在 rgb 三个层次上有发现 flag 碎片。和上一题差不多，这一次是选最少的 10 种像素。在 R0 G0 B0 通道都发现隐写痕迹。然后重新扯一块黑布，把这两种像素点描白。统计每个像素点出现的次数，排好序。勾选 R0，G0，B0。

文件尾：675053 （最后的 00 00 不算，是 windows 补充的，算到 FF 结尾即可）直接 010 打开，修改 0010h 行 6 列的 96 为 FF 然后再打开图片即可。本着宽度不变，高度应该 = 225000 / 900 = 250 px。所以原有的像素值 = 675000 / 3 = 225000 px。我们右键图片查看属性：像素点 = 900*150 < 225000。因为一个像素点由 RGB 三个通道组成，一个通道一个字节。所以这道题应该是要修改图片的高度。一样的把图片拉高即可。

parse_url — 解析 URL，返回其组成部分。或者 curl 命令传文件。

StegSolve 打开图片，选中 Analyse 的 File Format 模块。或者 010 最下面得到 flag。

BPG（Better Portable Graphics，更好的可移植图形）是一种新的图像格式。PNG使用从LZ77派生的无损数据压缩算法，一般应用于JAVA程序、网页或S60程序中，原因是它。PNG（Portable Network Graphics），便携式网络图形，是一种采用无损压缩算法的位图格式，支持索引、灰度、打开附件里的文件发现是 .bpg 文件，这种文件无法正常打开，要用专门的工具打开。给了几个 txt 文件，010 看一下应该是 png 文件，换成 .png 即可。高，生成文件体积小。

函数用于同步地执行系统命令，并等待命令执行完成后返回结果。它接受一个命令字符串作为参数，并返回命令执行的输出结果。但是注意到后面有 toUpperCase ，所以我们传 ctfshow 就行了。所以我们可以像 php 那样，找一下 js 里的命令执行函数之类的。有点像 php 里的 eval 哈，比如我们执行下面这么一段代码。函数会将传入的字符串当做 JavaScript 代码进行执行。方法不会直接返回命令执行的结果。点开来一个登陆页面，还有一个zip压缩包，下载下来。函数来执行一个系统命令。