12 2023 档案
摘要:第1关直接ssh连接,获得密码NH2SXQwcBdpmTEzi3bvBHMM9H66vVXjL,用这个密码连接第2关 第2关,连接之后查看 存在特殊字符的文件 因为使用 - 作为参数是指 STDIN/STDOUT 即 dev/stdin 或 dev/stdout 。所以如果你想打开这种类型的文件,你
阅读全文
摘要:首先先来了解一下setuid漏洞: SUID (Set UID)是Linux中的一种特殊权限,其功能为用户运行某个程序时,如果该程序有SUID权限,那么程序运行为进程时,进程的属主不是发起者,而是程序文件所属的属主。但是SUID权限的设置只针对二进制可执行文件,对于非可执行文件设置SUID没有任何意
阅读全文
摘要:首先查看一下附件的保护情况 可以看到,got表是可修改的状态 接着看主函数的逻辑 非常典型的菜单题,接着分析每一个函数的作用 unsigned __int64 create_heap() { int i; // [rsp+4h] [rbp-1Ch] size_t size; // [rsp+8h]
阅读全文
摘要:这道题没给附件,直接连上看看 这里一开始用().__class__.__base__.__subclasses__()[-4].__init__.__globals__[bytes([115,121,115,116,101,109]).decode()](bytes([115,104]).decod
阅读全文
摘要:查看附件信息 这里禁用了__import__,直接导致了help()函数和breakpoint()函数没法使用,并且还过滤了关键字符,这里考虑python模板注入,但是这里还过滤chr(),这里可以使用bytes函数 payload如下:().__class__.__base__.__subclas
阅读全文
摘要:打开下载来的附件 这道题比之前那道题多了长度限制,长度不能大于6,所有globals()函数用不了,但还是可以输入help()函数,然后再输入__main__就可以查看当前模块的值 拿到key之后就可以去backdoor函数getshell了
阅读全文
摘要:首先使用ssh连上主机 :ssh ctf@node5.anna.nssctf.cn -p 28844 接着再输入ls -al查看文件 尝试打开文件,发现权限不够,根据题目的提示打开shadow文件 在以前的Linux系统中,用户名、所在的用户组、密码(单向加密)等信息都存储在、/etc/shadow
阅读全文
摘要:拿到程序,先查一下保护状态 没开pie,接着看主函数代码逻辑 看到这里,因为程序开了canary,本程序没有可以泄露canary的方法,所以普通的栈溢出方法肯定打不了,这里可以考虑一下smash stack Stack smash 在程序加了 canary 保护之后,如果我们读取的 buffer 覆
阅读全文
摘要:附件下载下来是一个mp3文件,我这里是先试了一下MP3Stego对mp3进行空密码解密 发现得到了一个txt,貌似像一个key 然后kali中foremost一下mp3,发现得到一张png图片,然后再zsteg查看这张图片 ‘ 发现有zip文件,提取出来试一下 然后用一开始得到的key可以解密这个加
阅读全文
摘要:附件下载时vmdk文件 首先尝试了vm虚拟机挂载,但是失败了,后面了解到winhex也可以挂载vmdk文件,这里我是使用DG进行磁盘分析 挂载后,根据这个路径\Documents and Settings\Administrator\桌面\10个t的学习资料查找,可以看到有五张图片 导出五张图片,b
阅读全文
摘要:附件下载发现只有两个文件 打开flag.rar需要密码,那考虑解压密码应该是从secret.txt中获得,打开secret.txt文件 试过很多加密方式都不行,考虑是短信的pdu编码 PDU编码(非常经典)-CSDN博客 可以使用在线短信PDU 编码解码 - 在线工具 (bugscaner.com)
阅读全文
摘要:零字符宽度隐写1.1 前置知识1.1.1 统一码(Unicode)统一码(Unicode),也叫万国码或单一码,是计算机科学领域中的一项业界标准,包括字符集、编码方案等。Unicode 是一种重要的交互和显示的通用字符编码标准,它覆盖了美国、欧洲、中东、非洲、印度、亚洲和太平洋的语言,以及古文和专业
阅读全文
摘要:我们先看看程序的保护的情况 因为题目提示了orw,我们可以沙箱检测一下 可以发现是禁用的execve函数的,接着看函数逻辑 这里格式化字符串漏洞可以泄露canary和puts函数地址,先确定一下参数位置 可以发现参数是在第六个位置,接下来就是构造ROP,调用read函数读取shellcode到mma
阅读全文
摘要:还是先看一下保护情况 开了canary,接着看主函数逻辑 看到这里的代码逻辑,我一开始是想通过printf泄露出canary的值,然后再用ret2libc来打,但是我发现这个libc不好泄露,一般的泄露的思路都是构造ROP,通过puts函数泄露出puts的got表内容,但是我在寻找rdi这个gadg
阅读全文
摘要:查一下保护 拖进ida看主要逻辑 这里的代码逻辑为mmap开辟一段有执行的地址,可以写入shellcode,但这次写入的shellcode有限制 if ( buf > 90 || buf <= 47 || buf > 57 && buf <= 64 ) break;这里的限制shellcode的十六
阅读全文
摘要:这道题来源于Hackgame2023的“奶奶的睡前flag”这道题目 附件是一张图片 根据题目的提示,谷歌的亲儿子可以搜索到这个pixel的截图漏洞 搜索 Pixel 截图 bug,可以发现很多新闻报道:Pixel 手机自带的系统截图工具存在漏洞,裁剪图片并不会删除原图,而是将裁剪后的图片的数据直接
阅读全文
