前天打完的TQLCTF,来总结一下自己独立输出的几个题(可能会有其他题的复现?咕咕咕了x 队友们tqltql!有被带飞到! Reverse Tales of the Arrow 代码比较短,但是全是一堆randint 题目中并没有用到seed,同一份加密代码跑两遍出来的output.txt肯定也是不一样的,所以肯定不是随机数预测,所以就找漏洞(偏Crypto的思维...
从tqlctf2022学到的一点杂七杂八的东西 tqlctf2022应该是目前亲自参与过最离谱的比赛了(虽然就没打过几个比赛w),清华学霸们把题出得题均论文orz。复现是不可能全部复现的,就把学到的一点点新东西整理一下首先就是web签到题,几个可控的参数单独来看不管怎么绕都没法写成shell,永远都会针对性地‘差一点点’。但...
分析到这里,本challenge正如题目所描述,我们的目的是达成一次unbelievable write,即向target中写入数据。 这里给出一个非预期解,打tcache控制块tcache perthread struct,该控制块位于堆地址首部,与ptr存在固定偏移,因此我们可以利用一次free将其释放,然后通过修改tcache控制块内容实现tcache attack,达到任意地址堆块分配。则...
【世界顶级黑客 1V1 SOLO】DEFCON CTF 2022——Sauercloud VS r3kapig // 首个sudden death 1205 -- 38:26 App 【世界顶级黑客 1V1 SOLO】DEFCON CTF 2022——Straw Hat VS Katzebin 1248 -- 17:35 App 【DEFCON CTF决赛】LiveCTF-Norsecode vs Shellphish 1586 -- 31:01 App 【DEFCON CTF 2023】...
任意文件读取,尝试读一下sandbox/098f6bcd4621d373cade4e832627b4fdddddd6.php 查看源代码可以看到data协议后的base64编码,解码得到源码,除去HTML代码,只有一段PHP代码: <?phperror_reporting(0);$user= ((string)test);$pass= ((string)zsf098f6bcd4621d373cade4e832627b4f6);if(isset($_COOKIE['user...
分析到这里,本challenge正如题目所描述,我们的目的是达成一次unbelievable write,即向target中写入数据。 这里给出一个非预期解,打tcache控制块tcache perthread struct,该控制块位于堆地址首部,与ptr存在固定偏移,因此我们可以利用一次free将其释放,然后通过修改tcache控制块内容实现tcache attack,达到任意地址堆块分配。则...