发表于
字数统计: 930 | 阅读时长 ≈ 3
2020-10-08 在Reeder上看到了Sakura的日记,遂抄了过来2333 在高铁上看了下ctf-wiki上的heap intro,没看太多 做了一道攻防世界的堆题并写了题解,关于在多个有限字符的堆块中写shellcode的问题(目前还有疑问 2020-10-09 复习了下CTF A ...
阅读全文 »

发表于
字数统计: 116 | 阅读时长 ≈ 1
前言密码学课后作业,手算公式着实难顶。 脚本1234567891011121314151617181920212223242526p = 11a = 1b = 6def add(A, B): if A ==(0,0): return B if B ==(0,0): ...
阅读全文 »

发表于
字数统计: 923 | 阅读时长 ≈ 3
前言一个有意思的溢出题,关键在于如何跳出循环ROP,是我没见过的船新版本,呜呜呜。 前置知识寻找syscallopen、write、read、alarm这些都是系统调用,其汇编代码中是有syscall的,例如alarm_got + 5 = syscall 拼出open给eax传系统调用号+寄存器p ...
阅读全文 »

发表于
字数统计: 681 | 阅读时长 ≈ 2
前言 攻防世界的一道堆题,考察realloc不当导致的uaf~ 前置知识realloc函数1)如果当前内存段后面有需要的内存空间,则直接扩展这段内存空间,realloc()将返回原指针。2)如果当前内存段后面的空闲字节不够,那么就从bins中分配一个满足需求的内存块,将目前的数据复制到新的位置,并将 ...
阅读全文 »

发表于
字数统计: 279 | 阅读时长 ≈ 1
前言觉得手算一轮这个IDEA加密太不优雅,就用python解放下双手了= = 脚本1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859 ...
阅读全文 »

发表于
字数统计: 773 | 阅读时长 ≈ 3
前言做到的第一个堆题,对我来说还是有丶难度,遂记录一下。 题目分析首先checksec一下: 堆栈数据可执行,且存在可写入的段,根据我的经验来说这种情况一般是走ret2shellcode。 然后IDA反汇编看一下程序逻辑,这里直接看漏洞点: 这里由于数组索引存在越界,所以我们通过修改索引,可以实 ...
阅读全文 »

发表于
字数统计: 510 | 阅读时长 ≈ 2
前言久违地更新博客了,先水一篇题解吧。 题目分析checksec 发现开了NX,栈不可执行了。 IDA 这里是把传进来的buf逐字节赋值给s2,这里有个问题,s2大小是0x10,但是buf有0x400,显然这里存在栈溢出。 解题思路问题在于这个for循环,它的结束条件是读到\x00字节。换句话说就是 ...
阅读全文 »

发表于
字数统计: 1.3k | 阅读时长 ≈ 6
前言这里用来记录一下自己做题过程中遇到有趣的RCE~ 5个字符getshell题目:BabyFirst Revenge HITCON CTF 2017的题目,之前已经了解过思路,还是挺有意思的。 源码: 1234567891011121314<?php echo $_SERVER['REM ...
阅读全文 »

发表于
字数统计: 1.1k | 阅读时长 ≈ 5
前言打打小比赛练练手~ WEBFake XML cookbook123456<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE GVI [<!ENTITY flag SYSTEM "file:///flag" >]>&l ...
阅读全文 »

发表于
字数统计: 458 | 阅读时长 ≈ 2
前言划水划累了,学习一哈。 escapeshellarg + escapeshellcmdescapeshellarg与escapeshellcmd两个函数都是php设置来转义非法字符的,不过由于它们俩的转义规则有所不同,当先使用escapeshellarg再使用escapeshellcmd时可能导 ...
阅读全文 »
0%