先checksec,64位小端序,使用
原创
2023-06-07 13:49:36
246阅读
这是一道位的ret2libc和“铁人三项(第五赛区)_2018_ropBUUCTF”是一个类型的题目不过payload的构造有一点差别。因为在位程序中函数的前六个参数保存在寄存器中第七个参数保存在栈中。而在32位程序中函数的参数保存在栈中。 这两个题正好一样的题型但是略有差别。 这是主函 ...
转载
2021-08-26 15:54:00
507阅读
2评论
bjdctf_2020_babyrop2 1.ida分析 有个字符串格式化漏洞,应该是利用这个漏洞泄露出canary的值。 存在栈溢出漏洞。 2.checksec 3.解决 exp
转载
2021-07-21 16:30:00
409阅读
2评论
看到程序先例行检查一下 可以看到开启了canary和nx保护,需要注意的是这个acnary 将程序放入ida中shift+f12 没有关键性函数。我们进入main函数中 在main的gift程序里面我们可以看到明显的格式字符串漏洞,printf没有进行限定输入,所以我们可以通过这个程序获取到cana ...
转载
2021-08-02 16:49:00
381阅读
2评论
测试文件:https://www.lanzous.com/i9la55a 准备 获取信息: 32位文件 UPX壳 IDA分析 UPX脱壳后,IDA打开 int sub_804887C() { int v0; // eax int result; // eax int v2; // ecx unsig
转载
2020-02-22 23:11:00
337阅读
2评论
拖进base32查看strings,看见可疑字符 ...
转载
2021-07-30 11:53:00
696阅读
2评论
文件下载下来后,是一个图片,用010打开 发现文件后面有一个zip的压缩包 新建一个文件,将zip压缩包复制过去,保存为zip 解压缩后是一个文档文件,里面有一个二维码,用QR进行扫描,得到flag flag{you are the best!} ...
转载
2021-08-06 16:18:00
105阅读
打开链接 查看源代码提示ip flag里显示ip地址,猜测是xff注入 尝试修改X-Forwarded-For:111 输入与回显一样,猜测可能是SSTI,构造X-Forwarded-For:{{1+1}} 确定是SSTI,构造X-Forwarded-For:{{system('ls')}} 构造X ...
转载
2021-08-08 22:57:00
406阅读
2评论
打开后没发现什么,代码最后输出一个“dog” 直接输入/.git/时返回403,输入/.git/head可以下载文件,发现git泄漏 使用GitHack下载源码 <?php $flag = file_get_contents('/flag') <?php include 'flag.php'; $y ...
转载
2021-09-13 14:49:00
253阅读
2评论
打开题目环境,一开始考虑是sql注入,但是发现输入什么都会回显输入的数据。 这时候考虑是不是模板注入了。根据hint,注入点存在于cookie中。 {{7*'7'}} 回显7777777 ==> Jinja2 {{7*'7'}} 回显49 ==> Twig 将cookie中的UM_distincti ...
转载
2021-11-02 12:38:00
274阅读
2评论
1.发现 1.1打开题目地址,结合提示,可能与X-Forwarded-For有关。 1.2修改X-Forwarded-For内容,发现可控。 2.步骤 2.1修改再次修改X-Forwarded-For。 3.借鉴 (36条消息) BUUCTF:[BJDCTF2020]The mystery of i ...
转载
2021-10-31 10:48:00
833阅读
2评论
[BJDCTF2020]Mark loves cat 源码泄露 使用GitHack.py下载源码 下载之后对源代码进行
原创
2022-09-27 15:32:56
285阅读
BUUCTF-web类题目:[BJDCTF2020]ZJCTF,不过如此、[ZJCTF 2019]NiZhuanSiWeiphp反序列化直接可以看到给出的代码:<?php
error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($
原创
2023-05-30 14:56:45
259阅读
跟ip相关,联想到xff注入,试了一下发现没用,再试ssti,成功。 php的模板注入,使用的是smarty模板。 poc: GET /flag.php HTTP/1.1 Host: node4.buuoj.cn:28612 Upgrade-Insecure-Requests: 1 User-Age ...
转载
2021-08-03 17:27:00
504阅读
2评论
测试文件:https://www.lanzous.com/ib50fkb 文件分析 IDA打开后,在Function Window里面找到ques()函数就是输出我们的flag。我们可以通过调试修改EIP地址到ques函数(0x00401520)输出flag int ques() { int v0;
转载
2020-04-09 01:04:00
169阅读
2评论
测试文件:https://www.lanzous.com/ib3dq9c 代码分析 1 BOOL __stdcall DialogFunc(HWND hWnd, UINT a2, WPARAM a3, LPARAM a4) 2 { 3 CHAR String; // [esp+0h] [ebp-64
转载
2020-04-07 19:34:00
224阅读
2评论
打开链接 先找线索,查看hint 但是并没有思路,查看其他页面,可以在FLag页面有个输入框 输入测试,发现存在ssti漏洞 用burp抓包,找到注入点 输入{{7*‘7’}},返回49表示是 Twig 模块 输入{{7*‘7’}},返回7777777表示是 Jinja2 模块 证明是Twig模板 ...
转载
2021-10-20 22:21:00
231阅读
2评论
checksec是64位小端序,IDA分析看没找到明显的输入溢出逻辑,但是找到了后门函数,再仔细观察发现数值里面有强制转换,有一部分从int转到了unsigned int,因此可以初步判定为整型溢出,如果我输入-1即可突破长度为10的限制,所以以此下手即可成功修改返回地址,getshell。
原创
2023-06-07 13:50:39
256阅读
抓包查看响应包。 看来是md5注入。 看一下md5函数 对于ffifdyop这个字符串经过md5函数加密为16位原始二进制格式的字符串。 content: ffifdyop hex: 276f722736c95d99e921722cf9ed621c raw: 'or'6\xc9]\x99\xe9!r ...
转载
2021-07-27 13:52:00
146阅读
2评论
这题看题目也知道,主要考察的是md5有关绕过 首先,打开题目有一个输入框 随便输入一些东西,并没有发现什么,于是用bp抓包看看,得到一串暗示 可以使用ffifdyop绕过,因为 ffifdyop 这个字符串被 md5 哈希了之后会变成 276f722736c95d99e921722cf9ed621c ...
转载
2021-10-26 22:09:00
164阅读
2评论
