type
Post
status
Published
date
slug
summary
tags
CTF
推荐
category
CTF-WP
category (1)
icon
password
comment
MISC
Welcome_jail
python的越狱
exp反弹shell
image-20241026205432254
乌龟
先sstv得到密码
image-20241027163854009
再用deepsound去解密
得到secret.txt,里面是logo代码,用在线解释器去解释
image-20241027163931527
得到flag
SYC{TU3T1E_P4INTING}
PWN
简单的签到
exp
ez_shellcode
先查看保护
image-20241113233439576
防止写入了执行代码的可能,看看有没有后门,先看程序位数
image-20241113233531342
64位
用ida查看
image-20241113233915324
image-20241113233926522
初步思路是写shellcode代码然后通过姓名传参进行溢出,先去看看溢出长度
image-20241113234507042
image-20241113234520337
溢出填充长度32个字节,后面跟gift地址就行
image-20241113235143134
gift地址0x401256
exp
image-20241113235717607
刚入门pwn,这是首战ahhhhh
你会栈溢出吗
查看保护
image-20241114000540031
开了NX,先看程序位数
image-20241114000846983
64位
用ida查看
image-20241114001030111
image-20241114001037125
image-20241114001045299
明显利用gets的栈溢出,返回地址选择
image-20241114001118855
返回到0x400728(后来发现不行,直接返回到最近的地址0x40073d就行)
现在用gdb手动测试栈溢出长度(保险)
image-20241114001300119
image-20241114001318762
image-20241114001343819
和ida中8+c的长度也对上了
exp
image-20241114002708073
WEB
ezpop
exp
主要考察了.htaccess的文件包含来绕过file_put_contents($this->starven,"<?php exit();".$this->starven);
还考察了反序列化中S可以对16进制解码绕过
baby_upload
试了好久ctmd
最后上传成功去看了源码
image-20241115181452076
发现逻辑其实就是判断第一个‘.’后面的字符串是不是在黑名单,所以用shell.php.php可以绕过(因为.php.php不在黑名单中)
image-20241115181549829
image-20241115181641984
ez_http
image-20241115183932688
注意一定要用http,不能用https
- 作者:qetx
- 链接:http://qetx.top/article/4315a8cd-b4e1-4f6f-823b-fbaf943a8607
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
