摘要:
学 pwn 到现在快三个月了,在 BUU 上做了前五页共160题,不能把刷过的题的技巧都给忘了,再做一遍还不是得心应手的题,同时堆题很灵活,要多总结才能举一反三。 现在写下刚开始学的时候栈和格式化字符串值得注意的点,堆的要单独一篇发 1.为什么 32 位的ROP 是 p32(system) + p3 阅读全文
摘要:
花了十天把前四页共 128 题全部再做了一遍,加上一个是因为难度增加了,写得比较慢,另一个是期末周了时间比较少,所以拖了 20 天才发这篇题解 pwnable_asm 沙盒逃逸 orw 题 from pwn import * from struct import pack context(os = 阅读全文
摘要:
重感冒持续发热五天,拖到现在终于发第四页的题解了 axb_2019_heap 保护全开的菜单堆题 但是存在格式化字符串漏洞 add 如果 key = 43,那么大小可以自定义,不然最小只能是 0x80 ,这里开启了 PIE ,没法通过格式化字符串先泄露地址再修改 free edit 其中的 get_ 阅读全文
摘要:
其实早做好了,第四页都做了一半了,但是最近比较忙,所以就没发。其次,我的题解是一边做题一边写的,所以可能会包含部分错误的想法(应该都纠正了)、前后矛盾、碎碎念、无语吐槽等丰富要素,如有错误欢迎指出,当然除非是搜跟本标题一样的关键词,不然我这篇随笔应该是没几个人看了,一次性更新32道题不容易啊,要一张 阅读全文
摘要:
简单总结下 文件上传前端限制绕过:抓包修改对应项即可,不过本人更习惯上传一个符合要求的文件,然后抓包后只修改后缀名,看看能不能上传成功 文件上传后端限制绕过:一般都是检测文件头,尝试添加 GIF89a 、JFIF 尝试绕过 顺嘴提下在实战中,能上传的接口,先直接 fuzz 看看。不过几乎都限制死了, 阅读全文
摘要:
一些 php 伪协议就不具体介绍了,也不讲太详细 filter 伪协议可以利用过滤器来读或者写 php://filter/read=convert.base64-encode/resource=flag.php 如上图,不能让 die 函数执行,所以可以利用 filter 伪协议读 content 阅读全文
摘要:
picoctf_2018_rop chain 明显的栈溢出 flag 函数,需要 win1 win2 和 a1 满足一定条件 也提供了两个函数去控制 win1 和 win2 的值 那么思路就有了,先控制 win1 =1 ,再令 win2 = 1 ,再拿 flag from pwn import * 阅读全文
摘要:
pwn有时候真的太玄学了(我太菜了),有时候因为环境问题导致一道题很难调试成功,跟 wp 上的差很多,有时候调试几天也不知道怎么回事,换个环境突然就好了。特别是到堆的时候,搞了好几台不同 ubuntu 版本的虚拟机,最后发现还是直接用 patchelf 修改 pwn 题目的libc 好, 希望能帮助 阅读全文
摘要:
温故而知新,可以为师矣。所以花了几天时间重新做了下 buuctf 的 pwn 题,先发下第一页共 32 题的题解。还有如果题解都很详细那么本文就太长了,写起来也浪费时间,所以比较简单的题就直接丢 exp 了,不懂可以去看其他人的题解,难的题我觉得我写的题解应该是挺详细的。截至到发文日期,只要是涉及 阅读全文
摘要:
做完 ctfshow web 29 ~ 77、118~124的总结,写的比较简略。 PHP 中简单的 eval 函数执行字符限制绕过 使用通配符 * and ? ?c=system('tac f*'); 使用 ` 执行命令 ?c=`cp fla?.??? 1.txt`; 构造一句话木马,利用其它变量 阅读全文