Welpwn 很久以前的了,现在整理一下 题目的漏洞很明显,就是一个栈溢出.程序打开了NX,却没有给libc.重点是,在向栈上拷贝数据时,如果输入中含有'\x00',会被截断,对利用漏洞造成了困难.虽说被'\x00'截断但是还是能将返回地址覆盖. 以前曾见到一篇名为return to dl_resolve的文章,副标题是ret2lib without information leak,感觉很有意思,但是没仔细看.感觉可以用到这个题目上,这次就拿出来学了一下. 我注意到虽说在echo函数里,输入会…

攻防世界welpwn (搬运一篇自己在CSDN写的帖子) 链接:https://blog.csdn.net/weixin_44644249/article/details/113781356 这题主要是考无Libc泄露地址和栈空间控制,在没有Libc的情况下,可以使用LibcSearcher进行动态匹配,匹配完成后会给出选项,选择libc的版本即可.如果不知道版本可以一个个试. 安装LibcSearcher git clone https://github.com/lieanu/LibcSear…

感觉好久没有水博客了,今天借助这道题来告诉自己做pwn题要多调试!!! 先检查了保护只开启了堆栈不可执行,接下来ida看一下伪代码: 这里可以往buf进行写入,接下来看一下echo函数: 大概意思就是将buf的内容写入s2中,s2距离rbp只有0x10,所以可以进行溢出.这里我刚开始的时候是直接构造的rop,leakbaselibc,但是一直没有回显.后来我又将返回地址写成了start看看能不能让程序再次执行,发现是可以的.后来检查了一下,发现是向s2中赋值的时候,遇到'\x00'就会中断for…

苦逼的RCTF,只进行了两天,刚好第二天是5.20,出去xxx了,没法打比赛,难受.比赛结束了,还不准继续提交flag进行正确校验了,更难受. 下面是本次ctf解题思路流程 后面我解出的题会陆续更新上来 MISC sign 下载附件,发现打不开,以兼容性.管理员权限等还是打不开 丢进winhex初步审视一下16进制没啥发现 用binwalk扫描一下,发现一张png 提取,但是提取不出来,转手动提取,得到图片 本子,铅笔,红酒杯. 通过红酒杯联想到linux wine,用wine打开,得到flag…

die查一下发现是upx壳 直接脱掉 ELF文件 跑一下: 没看懂是什么意思 随便输一个数就结束了 ida打开 看一下: pipe是完成两个进程之间通信的函数 1是写,0是读 fork是通过系统调用创建一个“子进程”的函数 fork的返回值,在子进程里面是0,在父进程里是子进程的进程id 所以我们可以很容易看出来 在子进程里面,由于v5==0,所以会输出刚刚我们看到的 OMG!!!! I forgot kid's id 然后将69800876143568214356928753通过pipe传给父…

写在正文前 神仙题,压根不会. 听说跟着神仙的思路走一遍印象会深点,Just mo it .2333 正文 nextphp 整体思路:phpinfo得知存在preload.php文件,并与opcache拓展有关,查看preload.php源码确定为反序列化漏洞. 题目直接给了一句话,起手不俗,tql eval能干啥?执行php代码:读取文件,命令执行...... 附上一篇:php花式读取文件 是我太天真.记住记住,信息收集很重要,比如:phpinfo. 关注点:disable_functions…

发现一篇写得更好的:http://insight-labs.org/?p=2009  程序要求输入一个flag.拿ida加载后,发现是Upx壳,脱壳后加载入ida进行分析.定位到输入flag的地方,如下图: 在od中在0x401455处下断点,执行到此.继续f8执行下去,发现程序来到一块不在程序代码段的用户空间.如下图: 这一段执行完后,程序在修改代码段的内容,是动态代码修改.修改完成后,跳转到0x0040189e去执行.如下图: 我就觉得是一个壳,而0x0040189e则是OEP.因此,我使用…

比赛平台关闭了,没有截图,见谅.   解题思路流程: 分析网站结构,看源码,元素审计.发现以下信息. 要得到flag要获得一个pro cdn pro 子域名长度为3到6个字符 存在一个提交ticke页面   那怎么获取一个pro cdn呢?想到以下几种方法. 直接申请一个pro cdn 能不能把一个basic提升为pro 登录admin的账号,看里面是否有pro cdn   无从申请. 设计pro的操作时都提示不允许. 尝试注入,弱密码无效. 这些弄完了之后,思路卡壳,回到提交ticket那里.…

0x00: XCTF开赛了,只看了pwn,这次还比较有意思,有x86  x64  arm mips 多种cpu构架的pwn.自己只搞出了pwn200 0x01: 基本信息: x64 动态链接 有调试符号(怪不得是最简单的...) 开启的保护如图可以看到. 运行下,随便给点输入: 经过分析,发现问题出在echo()函数 而且这个bof的payload大概的格式: payload = "A"*24+"BBBBBB"+"\x00\x00" 0x02:…

题面是一个文件,里面是用base64加密的字符串,如下所示: IyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyN= IyAJCQkJRG9jdW1lbnRhdGlvbgkJCQkgICAgI0== IyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjI…