CISCN

[CISCN2020]-easyphp

源码:
keepb1ue·2020-08-25 17:15

ciscn 2020 Crypto bd

Start简单RSAfromsecretimportflagfromCrypto.Util.numberimport*m=bytes_to_long(flag)p=getPrime(512)q=getPrime(512)N=p*qphi=(p-1)*(q-1)whileTrue:d=getRandomNBitInteger(200)ifGCD(d,phi)==1:e=inverse(d,phi)b
顾殇の点·2020-08-25 15:52

CISCN2020 PWNwp

国赛嘛,不想说啥这里写目录babyjscmajeasyboxsnofreewow总结babyjsc非预期,python的input命令执行漏洞#-*-coding:utf-8-*frompwnimport*fromLibcSearcherimport*context.log_level='debug'context.arch='amd64'p=0defpwn(ip,port,debug):p=re
starssgo·2020-08-25 15:34

2019CISCN web题赛-JustSoSo;love_math(复现)

0x00前言这几天从网上找个CMS源码开始练习审计,盯着众多的代码debug调呀调头晕脑胀的,还不错找到个文件读取和一个ssrf...上月底结束的CISCN线上赛,web四道,仔细研究的2道,做出了一道
weixin_30466953·2020-08-24 06:43

2019全国大学生信息安全竞赛ciscn-writeup(4web)

web1-JustSosophp伪协议获取源码?file=php://filter/read=convert.base64-encode/resource=index.phpindex.php12';8}9if(preg_match("/flag/",$file)){10die('hackattacked!!!');11}12@include($file);13if(isset($payload)
weixin_30446613·2020-08-24 05:27

CISCN 2020 线上初赛 电脑被黑 WP

文件下载下来是extlinux磁盘文件,挂载上去后可以得到四个文件在demo中使用IDA可以看到加密过程,核心代码为推测为加密后将加密的flag删除了,我们只需要恢复加密后的flag并用逆向还原即可故我们使用工具extundelete将数据恢复,命令为:extundeletedisk_dump--restore-all可以恢复被删除的加密flag之后编写脚本解密即可if__name__=="__m
h1nt·2020-08-24 05:14

CISCN 2020 线上初赛 z3 WP

IDA打开后核心代码如下:int__cdeclmain(intargc,constchar**argv,constchar**envp){intv4;//[rsp+20h][rbp-60h]intv5;//[rsp+24h][rbp-5Ch]intv6;//[rsp+28h][rbp-58h]intv7;//[rsp+2Ch][rbp-54h]intv8;//[rsp+30h][rbp-50h]i
h1nt·2020-08-24 05:41

[CISCN 2020] rceme

ReferArticle:https://zhzhdoai.github.io/2019/02/20/PHP%E4%B9%8BGET%E4%BC%A0%E5%8F%82%E9%BB%91%E5%90%8D%E5%8D%95%E7%BB%95%E8%BF%87/源码如下:','!=',$ifstr);$ifstr=str_replace('or','||',$ifstr);$ifstr=str_re
m0c1nu7·2020-08-23 17:03

[CISCN 2020] easyphp

题目给出的源码如下:=4.1.0,PHP5,PHP7)pcntl_fork:在当前进程当前位置产生分支(子进程)。fork是创建了一个子进程,父进程和子进程都从fork的位置开始向下继续执行,不同的是父进程执行过程中,得到的fork返回值为子进程号,而子进程得到的是0。说明pcntl_fork(void):intpcntl_fork()函数创建一个子进程,这个子进程仅PID(进程号)和PPID(父
m0c1nu7·2020-08-23 17:03

CISCN 2018 Writeup — Aurora

Webeasyweb预期解:JWT伪造cookie,详见https://www.jianshu.com/p/e64d96b4a54d非预期解:空密码登陆image.pngimage.pngMisc验证码签到题,token登陆进去,输个验证码就有flagimage.pngpicturebinwalk–etask_ctf_01_KI2FmdE得到文件97E4image.pngBase64–d得到1im
_阿烨_·2020-08-21 02:27

CISCN题库【积累中】

1.强制访问控制的Bell-Lapadula模型必须给主、客体标记什么?(D)A、安全类型B、安全特征C、安全标记D、安全级别2.下面的哪个概念也称为“安全核”?(C)A、主体B、客体C、RF(ReferenceMonitor)D.TCB(TrustedComputingBase)3.系统日常维护的内容主要包括(BCD)方面A.程序维护B.数据维护C.代码维护D.设备维护E.文件维护4.信息系统的
m0c1nu7·2020-08-20 21:38

ciscn_2019_n_4

/ciscn_2019_n_4')p=remote('node3.buuoj.cn',25967)elf=ELF('.
doudoudedi·2020-08-19 23:13

2017ciscn

miscwarmup这题是盲水印加密,拿到一个加密的压缩包和一张png图片,png加密成zip包,然后明文攻击原来的压缩包(时间贼久,等了一个晚上才把压缩包解密了..........看到两张差不多的图丢去stegsolveXOR一下可以看见一堆横纹,然后应该就是盲水印了最后就是放去解密pythonbwm.pyencodefuli.pngfuli2.pngres.pngwebwannatoseeyo
Xi4or0uji·2020-08-19 22:05

190727 pwn-ciscn_final_14

搞了快三个小时才出来_(:з」∠)_几乎白给雷泽太强了!简单逆向后可以知道该程序具有注册和登陆功能注册后会给name赋值为userx,而get_flag的需求为name==adminxpasswd成员存储原始密码加盐(随机数)加密后的结果code成员存储其他成员加盐(随机数)加密后的结果登录时校验passwd和codeStruct:00000000Userstruc;(sizeof=0x84,ma
奈沙夜影·2020-08-19 22:18

170709 逆向-CISCN总结

1625-5王子昂总结《2017年7月9日》【连续第280天总结】A.CISCNB.一整天都投入进去还是非常充实的,虽然几个同学一起想MISC却一道都没做出来,这种经历却是特别有趣MISC方面大家的积攒都不够,开脑洞基本上能过一些小关,但是面对真正的题目就寸步难行了这既是成长的过程也是提醒我们抓紧时间锻炼各方面知识个人的逆向方面比较受挫。今年的逆向不同以往,大量使用了动态函数,以前的直接IDA反编
奈沙夜影·2020-08-19 22:18

BUUCTF-PWN ciscn_2019_final_5(临界条件错误,劫持GOT表项)

目录题目分析漏洞分析漏洞利用Exp题目分析例行安全检查没有PIE,方面调试partialrelro意味着这题应该直接改GOT表就能做菜单:没有show功能,可以考虑吧某个函数(比如free的GOT)改为puts@plt可以申请17个chunk,编号为0-16每次分配结束后会显示分配内存的低12bits而本题中还有一个特殊的地方,就是content数组(0x6020e0)里面放的地址是按照顺序放入的
L.o.W·2020-08-19 22:48

ciscn_2019_final_3

tcache机制的利用,通过unsorted泄露进而将堆空间开辟到libc中,写__free_hook拿到shell…expfrompwnimport*context.log_level='debug'defpause_debug():log.info(proc.pidof(p))pause()defadd(idx,size,content):p.sendlineafter('choice>',s
、moddemod·2020-08-19 22:28

BUUCTF ciscn_2019_c_1

跑一下程序,大致流程是到现在程序就基本分析完成,接下来需要构造rop泄露libc地址然后利用system等函数获得shell我们首先要获得libc的基地址,可以通过puts函数入手,这里解释一下为什么通过puts函数而不通过其他函数,因为puts函数在我们进入encrypt函数之前已经调用了很多次了,对于每一个动态链接而言,第一次调用完成以后,就修正了.got表中的对应的puts函数的地址,所以我
、moddemod·2020-08-19 22:56

ciscn_2019_n_5

/ciscn_2019_n_5'#p=process(proc_name)p=remote('node3.buuoj.cn',28451)elf=ELF(proc_name)p
、moddemod·2020-08-19 22:56

ciscn的简介

www.ciscn.cn全国大学生信息安全竞赛官网教育部按照《教育部关于进一步加强信息安全学科、专业建设和人才培养工作的意见》(教高〔2005〕7号)的要求及《教育部关于成立2006-2010年教育部高等学校有关科类教学指导委员会的通知
weixin_33840661·2020-08-19 21:02

ciscn2018-pwn-wp

前言2018全国大学生网络安全竞赛,做了2道题task_supermarketchange_desc里面调用realloc会触发uaf利用uaf修改obj->desc_ptr为atoi@got,泄露libc,使用libc-database找到相应的libc修改atoi@got为system,然后输入sh,getshellfrompwnimport*fromtimeimportsleepcontex
weixin_30596023·2020-08-19 21:10

【BUUCTF - PWN】ciscn_2019_n_8

checksec一下,好叭全开IDA打开看看,var是int数组,如果var[13]=0x11的话就能getflagfrompwnimport*fromLibcSearcherimport*context.os='linux'context.arch='i386'context.log_level='debug'sla=lambdax,y:io.sendlineafter(x,y)io=remot
古月浪子·2020-08-19 20:51

【BUUCTF - PWN】ciscn_2019_c_1

checksec一下IDA打开看看,encrypt函数内存在栈溢出漏洞由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上\0来绕过加密由于程序内没有后门函数,也没有system函数,所以考虑ret2libc特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐frompwnimport*fro
古月浪子·2020-08-19 20:50

ciscn_final_3

ciscn_final_3程序给的glibc版本为2.27,存在tcache机制首先检查一下程序的保护机制然后,我们用IDA分析一下Delete功能存在UAF漏洞程序没有show的功能,但是add时,会显示堆的地址
haivk·2020-08-19 19:33

[V&N2020 公开赛]easyTHeap + ciscn_2019_final_3 ——heap中tcache的一些简单利用方法

在libc2.26之后的libc版本中加入了新的存储结构tcache,这使得我们利用堆的时候要特别注意libc版本。对tcache不是很了解建议看看CTFWiKi1.[V&N2020公开赛]easyTHeap保护全开,libc2.27版本,进入IDA看到程序有增删改查的功能。我们一个个来看:add:我们可以看到add中不能写入数据。edit:add中不能读入的数据由edit来读入。show:没什么
PLpa、·2020-08-19 19:14

2019-CISCN华南赛区半决赛 pwn8

参考博客:https://xz.aliyun.com/t/5517#toc-3学长给了这道题目,结合了逆向+pwn题目链接:链接:https://pan.baidu.com/s/1viEaLM-5pqmRoEzagi0Nmg提取码:wwzb64位的程序,是静态链接的,静态!可以直接构造rop链了就开启了nx保护执行的时候发现权限不够,直接给他加权限就可以,chmod+xeasy_pwn执行emm,
言承Yolanda·2020-08-19 19:13

ciscn_2019_c_5

/ciscn_2019_c_5')p=remote('node3.buuoj.cn',27000)elf=ELF('.
doudoudedi·2020-08-19 19:06

ciscn_2019_en_3

/ciscn_2019_en_3')elf=ELF('.
doudoudedi·2020-08-19 19:06

BUUCTF ciscn_2019_es_1

思路首先申请一个smallbin大小的trunk然后释放打印得到libc基址,然后doublefree打fastbinattack之后写到libc去__malloc_hook写入one_gadget再次add获取shell以下为ubuntu16的环境下本地也就是libc-2.23这里题目是ubuntu18利用更加简单直接打free_hookexp:#!/usr/bin/python2frompwn
doudoudedi·2020-08-19 19:06

CISCN PWN签到题 task_note_service

序言比赛中这道差那么一点点就做出来了程序运行1.menu---------menu---------1.addnote2.shownote3.editnote4.delnote5.exityourchoice>>2.add1.addnote2.shownote3.editnote4.delnote5.exityourchoice>>1index:0size:1003.delete---------
qq_33528164·2020-08-19 19:43

ciscn_2019_en_2 ret2libc64

/ciscn_2019_en_2")p.recvuntil('choice!
pond99·2020-08-19 18:51

ciscn_2019_c_1

0x01检查文件,64位检查开启的保护情况开启了NX保护0x02IDA静态分析在主函数这里并没有常见的gets栈溢出,尝试再这里面的子函数找找,发现了encrypt函数,进去查看发现这个变量x的自增是有空间大小限制的,猜测这里会出现栈溢出漏洞,写出exp尝试溢出0x03exp:frompwnimport*fromLibcSearcherimport*content=0context(os='lin
怪味巧克力·2020-08-19 18:57

【pwn】ciscn_2019_es_2

frompwnimport*#io=process('ciscn_2019_es_2')
yudhui·2020-08-19 17:14

buuctf 强制转换无符号数溢出 任意地址读、跳转 _printf_chk free_hook jmpesp scanf输入过长触发malloc

文章目录zctf2016_note2oneshot_tjctf_2016ciscn_2019_en_3x_ctf_b0verfl0wGKCTF2020]Domozctf2016_note2本题的漏洞在这里有符号数和无符号数进行了比较
Tower2358·2020-08-19 17:15

buuctf ciscn_2019_n_8

ida:直接有sh,只要让var[13]等于17就可以exp:frompwnimport*fromLibcSearcherimport*context.os='linux'context.arch='i386'context.log_level='debug'ru=lambdax:io.recvuntil(x)rl=lambda:io.recvline()sla=lambdax,y:io.send
Tower2358·2020-08-19 17:15

buuctf ciscn_2019_final_5 calloc整理机制修改tcache的fd puts \0泄漏 signal信号

文章目录ciscn_2019_final_5judgement_mna_2016picoctf_2018_leak_mepicoctf_2018_bufferoverflow0cmcc_pwnme1ciscn
Tower2358·2020-08-19 17:15

BUUCTF ciscn_2019_en_2

这题整体的思路是ret2libc先checksec理一下题目:只有功能1是能用的,输入1,来到encrypt函数,输入s,因为后面有strlen,所以\0截断,溢出为0x58exp:frompwnimport*fromLibcSearcherimport*context.os='linux'context.arch='amd64'context.log_level='debug'r=remote(
Tower2358·2020-08-19 17:44

ciscn_2019_n_3[use after free]

expfrompwnimport*context.log_level='debug'defdebug_pause():log.info(proc.pidof(p))pause()defnew_note(idx,_type,length,value):p.sendlineafter('CNote>',str(1))p.sendlineafter('Index>',str(idx))p.sendlin
、moddemod·2020-08-19 16:20

【BUUCTF - PWN】ciscn_2019_n_1

checksec一下IDA打开,发现如果满足的条件达成,就能getflag找到栈溢出漏洞,输入可以覆盖到v2写代码把11.28125在内存中的十六进制表示出来frompwnimport*fromLibcSearcherimport*context.os='linux'context.arch='amd64'context.log_level='debug'sl=lambdax:io.sendlin
古月浪子·2020-08-19 15:25

ciscn_final_6

ciscn_final_6首先,检查一下程序的保护机制然后,我们IDA分析一下,在store_game函数里的getInput存在nulloffbyone漏洞常规的nulloffbyone漏洞,只是本题逻辑复杂了一点
haivk·2020-08-19 15:14

ciscn_2019_ne_3

ciscn_2019_ne_3(在rop长度过小情况下,通过read劫持read自身的返回来达到后续大量rop)首先检查一下程序的保护机制然后,我们用IDA分析一下,32位栈溢出,难点在于结束变更了两次
haivk·2020-08-19 15:14

【PWN】2019-ciscn your——pwn

这题的漏洞点就在数组下标越界,造成栈上任意地址读写。在做的时候遇到的坑点:1.在于数组类型转换输出会造成误导:2.对不给libc.so的题可以用libcsearch和onegadget配合得到onegadget地址,因为我直接调用system函数会出现段错误,应该是在对栈上数据进行操作覆盖了环境变量???但是用onegadget就成功getshelll。fromLibcSearcherimport
Joaus·2020-08-19 15:59

ciscn_2019_n_5

veryeasy#-*-coding:utf-8-*-fromPwnContext.coreimport*local=1iflocal==1:p=remote('node3.buuoj.cn','25056')else:ctx.binary=binaryctx.remote_libc=debug_libcctx.debug_remote_libc=Truep=ctx.start()p.sendli
qq_39869547·2020-08-19 15:54

BUUCTF pwn ciscn_2019_n_8

0x01文件分析 文件很简单,32位,保护都开得差不多。 0x02运行 输入并且回显。 0x03IDA源码分析int__cdeclmain(intargc,constchar**argv,constchar**envp){intv4;//[esp-14h][ebp-20h]intv5;//[esp-10h][ebp-1Ch]var[13]=0;var[14]=0;init();puts("What
影子019·2020-08-19 15:29

buuctf ciscn_2019_n_5 (ret2shellcode)

/ciscn_2019_n_5'local_libc='/usr/lib/x86_64-linux-gnu/libc-2.29.so'remote_libc='.
Tower2358·2020-08-19 15:16

[CISCN2018]oldstreamgame

encryptflag="flag{xxxxxxxxxxxxxxxx}"assertflag.startswith("flag{")assertflag.endswith("}")assertlen(flag)==14deflfsr(R,mask):output=(R>1output^=lastbitreturn(output,lastbit)R=int(flag[5:-1],16)mask=0b
前方是否可导?·2020-08-17 07:23

使用Docker进行Pwn题环境部署

Docker安装1.apt安装2.手动下载并且安装3.切换镜像源Docker简单使用Pwn部署框架ctf_xinetdConfigurationBuildRunCapturetraffic国赛Pwn之一CISCN2018
Yof3ng·2020-08-17 02:35

pwn-ciscn_2019_es_2(栈迁移)

这道题用来做栈迁移的例题真是再合适不过了查看防护main函数存在hack函数,执行系统命令echoflag。没有binsh,需要自己写入vuln函数很明显是栈溢出,但是溢出的空间不足。read大小为0x30,s变量和ebp距离为0x28。只能覆盖ebp和ret。因此使用栈迁移解决栈空间不足的问题。把rop链写栈上,首先利用printf获取上个栈帧的ebp。printf遇到00就会截断,如果我们输入
remon535·2020-08-15 00:00

[CISCN2019 华北赛区 Day1 Web5]CyberPunk(php://伪协议,报错注入,二次注入)

进到页面:(说到赛博朋克,tM居然跳票了,令人烦躁)老规矩F12:有个hint,见到file就想到了熟悉的php://伪协议,payload:/index.php?file=php://filter/convert.base64-encode/resource=index.php返回一大串base64编码内容,解码一下:query($sql);}if(isset($fetch)&&$fetch->
k0f1i·2020-08-13 22:10

buuctf-web-[CISCN2019 华北赛区 Day1 Web1]Dropbox

在下载的时候可以通过抓包修改文件名filename=…/…/index.php获得源码有这样几个页面重点在class.php和delete.php中当时提示是phar反序列化什么是phar反序列化传送门1传送门2在phar://xx.phar文件的时候可以通过某些函数触发反序列化delete.php会执行$file->detele();class.php中的File类的delete函数里有unli
掘地三尺有神明·2020-08-13 22:48
上一页 1 2 3 4 5 6 7 8 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他