ciscn_2019_sw_7 堆溢出与整数溢出漏洞 一般再的库中,如果限制了大小,那么基本上只有两种方法,一种是orange,还有一种就是堆溢出,然后修改size大小为unsorted bin中的大小来leak libc。 由于本题有堆溢出,但限制了堆的大小,所以我们想泄露libc,只能使用后者(因为申请的chunk大小被限制了),而在有tache的情况下,要...
}classFile{public$filename='/flag.txt';//绝对路径}$b=newFileList();$c=newUser();$c->db=$b; @unlink('exp.phar');$a=newPhar('exp.phar');$a->startBuffering();$a->setStub('<?php __HALT_COMPILER(); ?>');$a->setMetadata($c);$a->addFromString("test.txt","test");$a->...
_0x59634c = _0x4c63; while (!![]) { try { var _0x5ee11a = parseInt(_0x59634c(0x16f)) + parseInt(_0x59634c(0x168)) * parseInt(_0x59634c(0x166)) + parseInt(_0x59634c(0x178)) + parseInt(_0x59634c(0x17e)) * parseInt(_0x59634c(0x170)) + -parseInt(_0x59634c(0x...
return self.render('form.html', res='This is Black Technology!', member=0) 关键点在于pickle,根据在研究大佬WP时找到: https://www.freebuf.com/articles/web/252189.html 或,作用和一样,两者只是实现的语言不同,一个是纯Python实现、另一个是C实现,函数调用基本相同。 关于其过程,在这里我说多了不...
题目地址:https://buuoj.cn/challenges#ciscn_2019_n_8 下载pwn文件后拖入Ubuntu进行装载和保护检查 发现为32位文件,并且保护全开 然后用ida32进行分析 打开后按F5生成C语言伪代码 经过观察可以发现只要使var[13]==17即可触发/bin/sh 只需连续输入14个17就可使var[13]==17 构造exp 可以使用... ...
buuctf ciscn_2019_c_1 wp 记录下学习pwn的过程(感觉比re难多了,我太菜了) 查看保护 64位程序,64位程序 的前六个参数依次保存在 RDI, RSI, RDX, RCX, R8 和 R9,多的参数再通过栈传递 在encrypt函数里使用了gets函数,可能有栈溢出 发现对输入进行了加密 可以使用“\0”绕过 构造rop链,需要使用到rdi...
[CISCN 2019]ikun题解 这道题的题目页面如下: 题目中要求要买到lv6,但是翻了好多页能买到的都是lv5及以下的物品,写一个脚本爆破一下lv6。 代码语言:javascript 代码运行次数:0 运行 AI代码解释 importrequests url="http://7a73bf1c-9801-4509-bc9f-1e894d3df22a.node3.buuoj.cn/shop?page="i=1while...
接下来使用github的flask-session-manager进行加解密。 首先解密session得到{u'username': 'www-data'},将www-data换成fuck并加密得到: eyJ1c2VybmFtZSI6eyIgYiI6IlpuVmphdz09In19.XonT0Q.wFSm3JOFRrHW-whBsQRIwAn64_0。 访问/flag并修改session得到flag。
[CISCN2019 华北赛区 Day1 Web1]Dropbox复现 先声明一下,这道题异常复杂,网上很多wp的payload是对的,但是过程分析都有一定的偏差,我耗时4个小时通过动态调试终于搞明白了,给自己点个赞 主要考点 phar反序列化 题目 注册进去传个文件,只能传图片,然后存在一个任意文件下载(当然其实这里下载源码后发现只能下载三个...
[CISCN 2019 初赛]Love Math 该题的题目页面是一段代码,代码如下: 代码语言:javascript 代码运行次数:0 运行 AI代码解释 <?php error_reporting(0); //听说你很喜欢数学,不知道你是否爱它胜过爱flag if(!isset($_GET['c'])){ show_source(__FILE__); }else{ //例子 c=20-1 $content = $_GET[...