Start简单RSAfromsecretimportflagfromCrypto.Util.numberimport*m=bytes_to_long(flag)p=getPrime(512)q=getPrime(512)N=p*qphi=(p-1)*(q-1)whileTrue:d=getRandomNBitInteger(200)ifGCD(d,phi)==1:e=inverse(d,phi)b

国赛嘛，不想说啥这里写目录babyjscmajeasyboxsnofreewow总结babyjsc非预期，python的input命令执行漏洞#-*-coding:utf-8-*frompwnimport*fromLibcSearcherimport*context.log_level='debug'context.arch='amd64'p=0defpwn(ip,port,debug):p=re

0x00前言这几天从网上找个CMS源码开始练习审计，盯着众多的代码debug调呀调头晕脑胀的，还不错找到个文件读取和一个ssrf...上月底结束的CISCN线上赛，web四道，仔细研究的2道，做出了一道

web1-JustSosophp伪协议获取源码?file=php://filter/read=convert.base64-encode/resource=index.phpindex.php12';8}9if(preg_match("/flag/",$file)){10die('hackattacked!!!');11}12@include($file);13if(isset($payload)

文件下载下来是extlinux磁盘文件，挂载上去后可以得到四个文件在demo中使用IDA可以看到加密过程，核心代码为推测为加密后将加密的flag删除了，我们只需要恢复加密后的flag并用逆向还原即可故我们使用工具extundelete将数据恢复，命令为：extundeletedisk_dump--restore-all可以恢复被删除的加密flag之后编写脚本解密即可if__name__=="__m

IDA打开后核心代码如下：int__cdeclmain(intargc,constchar**argv,constchar**envp){intv4;//[rsp+20h][rbp-60h]intv5;//[rsp+24h][rbp-5Ch]intv6;//[rsp+28h][rbp-58h]intv7;//[rsp+2Ch][rbp-54h]intv8;//[rsp+30h][rbp-50h]i

ReferArticle：https://zhzhdoai.github.io/2019/02/20/PHP%E4%B9%8BGET%E4%BC%A0%E5%8F%82%E9%BB%91%E5%90%8D%E5%8D%95%E7%BB%95%E8%BF%87/源码如下：','!=',$ifstr);$ifstr=str_replace('or','||',$ifstr);$ifstr=str_re

题目给出的源码如下：=4.1.0,PHP5,PHP7)pcntl_fork:在当前进程当前位置产生分支（子进程）。fork是创建了一个子进程，父进程和子进程都从fork的位置开始向下继续执行，不同的是父进程执行过程中，得到的fork返回值为子进程号，而子进程得到的是0。说明pcntl_fork(void):intpcntl_fork()函数创建一个子进程，这个子进程仅PID（进程号）和PPID（父

Webeasyweb预期解：JWT伪造cookie，详见https://www.jianshu.com/p/e64d96b4a54d非预期解：空密码登陆image.pngimage.pngMisc验证码签到题，token登陆进去，输个验证码就有flagimage.pngpicturebinwalk–etask_ctf_01_KI2FmdE得到文件97E4image.pngBase64–d得到1im

1.强制访问控制的Bell-Lapadula模型必须给主、客体标记什么？（D）A、安全类型B、安全特征C、安全标记D、安全级别2.下面的哪个概念也称为“安全核”？（C）A、主体B、客体C、RF(ReferenceMonitor)D.TCB(TrustedComputingBase)3.系统日常维护的内容主要包括(BCD)方面A.程序维护B.数据维护C.代码维护D.设备维护E.文件维护4.信息系统的

/ciscn_2019_n_4')p=remote('node3.buuoj.cn',25967)elf=ELF('.

miscwarmup这题是盲水印加密，拿到一个加密的压缩包和一张png图片，png加密成zip包，然后明文攻击原来的压缩包（时间贼久，等了一个晚上才把压缩包解密了..........看到两张差不多的图丢去stegsolveXOR一下可以看见一堆横纹，然后应该就是盲水印了最后就是放去解密pythonbwm.pyencodefuli.pngfuli2.pngres.pngwebwannatoseeyo

搞了快三个小时才出来_(:з」∠)_几乎白给雷泽太强了！简单逆向后可以知道该程序具有注册和登陆功能注册后会给name赋值为userx，而get_flag的需求为name==adminxpasswd成员存储原始密码加盐（随机数）加密后的结果code成员存储其他成员加盐（随机数）加密后的结果登录时校验passwd和codeStruct:00000000Userstruc;(sizeof=0x84,ma

1625-5王子昂总结《2017年7月9日》【连续第280天总结】A.CISCNB.一整天都投入进去还是非常充实的，虽然几个同学一起想MISC却一道都没做出来，这种经历却是特别有趣MISC方面大家的积攒都不够，开脑洞基本上能过一些小关，但是面对真正的题目就寸步难行了这既是成长的过程也是提醒我们抓紧时间锻炼各方面知识个人的逆向方面比较受挫。今年的逆向不同以往，大量使用了动态函数，以前的直接IDA反编

目录题目分析漏洞分析漏洞利用Exp题目分析例行安全检查没有PIE，方面调试partialrelro意味着这题应该直接改GOT表就能做菜单：没有show功能，可以考虑吧某个函数（比如free的GOT）改为puts@plt可以申请17个chunk，编号为0-16每次分配结束后会显示分配内存的低12bits而本题中还有一个特殊的地方，就是content数组（0x6020e0）里面放的地址是按照顺序放入的

tcache机制的利用，通过unsorted泄露进而将堆空间开辟到libc中，写__free_hook拿到shell…expfrompwnimport*context.log_level='debug'defpause_debug():log.info(proc.pidof(p))pause()defadd(idx,size,content):p.sendlineafter('choice>',s

跑一下程序，大致流程是到现在程序就基本分析完成，接下来需要构造rop泄露libc地址然后利用system等函数获得shell我们首先要获得libc的基地址，可以通过puts函数入手，这里解释一下为什么通过puts函数而不通过其他函数，因为puts函数在我们进入encrypt函数之前已经调用了很多次了，对于每一个动态链接而言，第一次调用完成以后，就修正了.got表中的对应的puts函数的地址，所以我

/ciscn_2019_n_5'#p=process(proc_name)p=remote('node3.buuoj.cn',28451)elf=ELF(proc_name)p

www.ciscn.cn全国大学生信息安全竞赛官网教育部按照《教育部关于进一步加强信息安全学科、专业建设和人才培养工作的意见》（教高〔2005〕7号）的要求及《教育部关于成立2006-2010年教育部高等学校有关科类教学指导委员会的通知

前言2018全国大学生网络安全竞赛，做了2道题task_supermarketchange_desc里面调用realloc会触发uaf利用uaf修改obj->desc_ptr为atoi@got,泄露libc,使用libc-database找到相应的libc修改atoi@got为system,然后输入sh,getshellfrompwnimport*fromtimeimportsleepcontex

checksec一下，好叭全开IDA打开看看，var是int数组，如果var[13]=0x11的话就能getflagfrompwnimport*fromLibcSearcherimport*context.os='linux'context.arch='i386'context.log_level='debug'sla=lambdax,y:io.sendlineafter(x,y)io=remot

checksec一下IDA打开看看，encrypt函数内存在栈溢出漏洞由于程序会将输入的内容加密，这会破坏我们的payload，所以注意到strlen函数，通过在payload开头放上\0来绕过加密由于程序内没有后门函数，也没有system函数，所以考虑ret2libc特别注意到题目是部署在Ubuntu18上的，因此调用system需要栈对齐，这里填充ret来对齐frompwnimport*fro

ciscn_final_3程序给的glibc版本为2.27，存在tcache机制首先检查一下程序的保护机制然后，我们用IDA分析一下Delete功能存在UAF漏洞程序没有show的功能，但是add时，会显示堆的地址

在libc2.26之后的libc版本中加入了新的存储结构tcache，这使得我们利用堆的时候要特别注意libc版本。对tcache不是很了解建议看看CTFWiKi1.[V&N2020公开赛]easyTHeap保护全开，libc2.27版本，进入IDA看到程序有增删改查的功能。我们一个个来看：add：我们可以看到add中不能写入数据。edit：add中不能读入的数据由edit来读入。show：没什么

参考博客：https://xz.aliyun.com/t/5517#toc-3学长给了这道题目，结合了逆向+pwn题目链接：链接：https://pan.baidu.com/s/1viEaLM-5pqmRoEzagi0Nmg提取码：wwzb64位的程序，是静态链接的，静态！可以直接构造rop链了就开启了nx保护执行的时候发现权限不够，直接给他加权限就可以，chmod+xeasy_pwn执行emm，

/ciscn_2019_c_5')p=remote('node3.buuoj.cn',27000)elf=ELF('.

/ciscn_2019_en_3')elf=ELF('.

思路首先申请一个smallbin大小的trunk然后释放打印得到libc基址,然后doublefree打fastbinattack之后写到libc去__malloc_hook写入one_gadget再次add获取shell以下为ubuntu16的环境下本地也就是libc-2.23这里题目是ubuntu18利用更加简单直接打free_hookexp:#!/usr/bin/python2frompwn

序言比赛中这道差那么一点点就做出来了程序运行1.menu---------menu---------1.addnote2.shownote3.editnote4.delnote5.exityourchoice>>2.add1.addnote2.shownote3.editnote4.delnote5.exityourchoice>>1index:0size:1003.delete---------

/ciscn_2019_en_2")p.recvuntil('choice!

0x01检查文件，64位检查开启的保护情况开启了NX保护0x02IDA静态分析在主函数这里并没有常见的gets栈溢出，尝试再这里面的子函数找找，发现了encrypt函数，进去查看发现这个变量x的自增是有空间大小限制的，猜测这里会出现栈溢出漏洞，写出exp尝试溢出0x03exp：frompwnimport*fromLibcSearcherimport*content=0context(os='lin

frompwnimport*#io=process('ciscn_2019_es_2')

文章目录zctf2016_note2oneshot_tjctf_2016ciscn_2019_en_3x_ctf_b0verfl0wGKCTF2020]Domozctf2016_note2本题的漏洞在这里有符号数和无符号数进行了比较

ida:直接有sh，只要让var[13]等于17就可以exp：frompwnimport*fromLibcSearcherimport*context.os='linux'context.arch='i386'context.log_level='debug'ru=lambdax:io.recvuntil(x)rl=lambda:io.recvline()sla=lambdax,y:io.send

文章目录ciscn_2019_final_5judgement_mna_2016picoctf_2018_leak_mepicoctf_2018_bufferoverflow0cmcc_pwnme1ciscn

这题整体的思路是ret2libc先checksec理一下题目：只有功能1是能用的，输入1，来到encrypt函数，输入s，因为后面有strlen，所以\0截断，溢出为0x58exp：frompwnimport*fromLibcSearcherimport*context.os='linux'context.arch='amd64'context.log_level='debug'r=remote(

expfrompwnimport*context.log_level='debug'defdebug_pause():log.info(proc.pidof(p))pause()defnew_note(idx,_type,length,value):p.sendlineafter('CNote>',str(1))p.sendlineafter('Index>',str(idx))p.sendlin

checksec一下IDA打开，发现如果满足的条件达成，就能getflag找到栈溢出漏洞，输入可以覆盖到v2写代码把11.28125在内存中的十六进制表示出来frompwnimport*fromLibcSearcherimport*context.os='linux'context.arch='amd64'context.log_level='debug'sl=lambdax:io.sendlin

ciscn_final_6首先，检查一下程序的保护机制然后，我们IDA分析一下，在store_game函数里的getInput存在nulloffbyone漏洞常规的nulloffbyone漏洞，只是本题逻辑复杂了一点

ciscn_2019_ne_3(在rop长度过小情况下，通过read劫持read自身的返回来达到后续大量rop)首先检查一下程序的保护机制然后，我们用IDA分析一下，32位栈溢出，难点在于结束变更了两次

这题的漏洞点就在数组下标越界，造成栈上任意地址读写。在做的时候遇到的坑点：1.在于数组类型转换输出会造成误导：2.对不给libc.so的题可以用libcsearch和onegadget配合得到onegadget地址，因为我直接调用system函数会出现段错误，应该是在对栈上数据进行操作覆盖了环境变量？？？但是用onegadget就成功getshelll。fromLibcSearcherimport

veryeasy#-*-coding:utf-8-*-fromPwnContext.coreimport*local=1iflocal==1:p=remote('node3.buuoj.cn','25056')else:ctx.binary=binaryctx.remote_libc=debug_libcctx.debug_remote_libc=Truep=ctx.start()p.sendli

0x01文件分析 文件很简单，32位，保护都开得差不多。 0x02运行 输入并且回显。 0x03IDA源码分析int__cdeclmain(intargc,constchar**argv,constchar**envp){intv4;//[esp-14h][ebp-20h]intv5;//[esp-10h][ebp-1Ch]var[13]=0;var[14]=0;init();puts("What

/ciscn_2019_n_5'local_libc='/usr/lib/x86_64-linux-gnu/libc-2.29.so'remote_libc='.

encryptflag="flag{xxxxxxxxxxxxxxxx}"assertflag.startswith("flag{")assertflag.endswith("}")assertlen(flag)==14deflfsr(R,mask):output=(R>1output^=lastbitreturn(output,lastbit)R=int(flag[5:-1],16)mask=0b

Docker安装1.apt安装2.手动下载并且安装3.切换镜像源Docker简单使用Pwn部署框架ctf_xinetdConfigurationBuildRunCapturetraffic国赛Pwn之一CISCN2018

这道题用来做栈迁移的例题真是再合适不过了查看防护main函数存在hack函数，执行系统命令echoflag。没有binsh,需要自己写入vuln函数很明显是栈溢出，但是溢出的空间不足。read大小为0x30，s变量和ebp距离为0x28。只能覆盖ebp和ret。因此使用栈迁移解决栈空间不足的问题。把rop链写栈上，首先利用printf获取上个栈帧的ebp。printf遇到00就会截断，如果我们输入

进到页面：（说到赛博朋克，tM居然跳票了，令人烦躁）老规矩F12：有个hint，见到file就想到了熟悉的php://伪协议，payload：/index.php?file=php://filter/convert.base64-encode/resource=index.php返回一大串base64编码内容，解码一下：query($sql);}if(isset($fetch)&&$fetch->

在下载的时候可以通过抓包修改文件名filename=…/…/index.php获得源码有这样几个页面重点在class.php和delete.php中当时提示是phar反序列化什么是phar反序列化传送门1传送门2在phar://xx.phar文件的时候可以通过某些函数触发反序列化delete.php会执行$file->detele();class.php中的File类的delete函数里有unli