XCTF攻防世界

170629 Pwn-XCTF决赛的Pwn视频分析

1625-5王子昂总结《2017年6月29日》【连续第270天总结】A.XCTF总决赛PwnB.看二进制指导的时候误打误撞看了一个Pwn的视频writeup,不过技术原理上与逆向相同的,区别只在于Pwn
奈沙夜影·2020-08-05 21:12

攻防世界mobile easy-apk

做的第一次apk题题目来源:攻防世界拿到apk文件后解压,没有lib,就分析Java源码找到MainActivity,看起来像是base64,但这个new又让人觉得看起来不太对劲,拿去试了之后发现是乱码
R1nd0·2020-08-05 21:34

攻防世界进阶区pwn1

拿到题目checksec一下,发现开了canary保护。分析源程序,也很容易找到溢出点,题目开了canary,很显然v6就是canary,s与v6的距离为0x90-0x8=0x88.题目得逻辑也很简单,输入1进行read操作,2进行puts,3退出。那么思路就很清楚了,通过read填充0x88个a,然后通过puts打印,因为puts碰到\x00才会停止打印,那么就会有疑惑了,众所周知canary的
3nc0de·2020-08-05 21:02

攻防世界PWN进阶区pwn100/pwn200/warmup

文章目录pwn200pwn100warm_uppwn200和CTFWIKI上的ret2libc3大同小异。条件:1.有read(),write()函数,无system。2.在函数sub_8048484中存在栈溢出。思路:1.通过栈溢出调用write()函数泄露write()对应的got表项的内容,此处将write函数的返回地址设置为main或者sub_8048484的地址以便再次利用栈溢出漏洞2.
3nc0de·2020-08-05 21:01

easy_Maze 攻防世界

工具IDA思路展开maze类:1.内存中画出一张地图(地图变换)2.明确起点和终点3.(四个字符对应上下左右)flag就是走出的路径题目提示是maze类的,找上面三个关键点int__cdeclmain(intargc,constchar**argv,constchar**envp){__int64v3;//raxintv5[7];//[rsp+0h][rbp-270h]intv6;//[rsp+C
北风~·2020-08-05 21:58

攻防世界中的stack2

昨天去刷了攻防世界的题,做到了stack2这道题。
铁骨哥·2020-08-05 21:52

攻防世界 web高手进阶区 3分题

前言继续ctf的旅程攻防世界web高手进阶区的3分题1、Web_python_template_injection题目提示是pythontemplateinjection是SSTI。。。。。。。。。
思源湖的鱼·2020-08-05 21:52

攻防世界——pwn(2)

hello_pwn只有NX哟没啥好说的,填充然后让60106c的位置为1853186401就可以啦直接上expfrompwnimport*p=process("./hello_pwn")p.recvuntil('letsgethelloworldforbof\n')payload="A"*4+p64(1853186401)p.send(payload)printp.recv()level0有后门函
Xuan~·2020-08-05 21:16

2019XCTF攻防世界之萌新入坑(time_formatter)

time_formatter题目先给出一个菜单选择1设置参数格式化字符串选择2设置参数指定时间戳选择3设置参数时区选择4对已有时区参数的情况做处理选择5退出(可选择是否退出)选择1malloc选择3同样是一个malloc选择4一个后面,读入字符串,并作为system的参数选择5free掉ptr、value两个堆块利用useafterfree选择1设置格式化字符串(malloc(n))选择3设置时区
Antoine Zhong·2020-08-05 21:11

攻防世界-guess_num-Writeup

guess_num[collapsetitle=“展开查看详情”status=“false”]考察点:利用栈溢出固定随机数__int64__fastcallmain(__int64a1,char**a2,char**a3){intv4;//[rsp+4h][rbp-3Ch]inti;//[rsp+8h][rbp-38h]intv6;//[rsp+Ch][rbp-34h]charv7;//[rsp+
SkYe231·2020-08-05 20:28

攻防世界-stack2-Writeup

stack2题目来源:XCTF4th-QCTF-2018[collapsetitle=“展开查看详情”status=“false”]考点:数字下标溢出保护情况:Arch:i386-32-littleRELRO
SkYe231·2020-08-05 20:28

攻防世界-level3-Writeup

level3[collapsetitle=“展开查看详情”status=“false”]考点:栈溢出、ROP(ret2libc)ssize_tvulnerable_function(){charbuf;//[esp+0h][ebp-88h]write(1,"Input:\n",7u);returnread(0,&buf,0x100u);//溢出}打开了NX保护栈数据不可执行,程序没有预留后
SkYe231·2020-08-05 20:28

攻防世界-pwn1-Writeup

pwn1考点:栈溢出,canary绕过基本情况程序实现功能是往栈上读写数据。保护措施Arch:amd64-64-littleRELRO:FullRELROStack:CanaryfoundNX:NXenabledPIE:NoPIE(0x400000)栈溢出......while(1){menu();v3=my_input();switch(v3){case2:puts(&s);break;case
SkYe231·2020-08-05 20:28

攻防世界-easyjava-Writeup

easyjava[collapsetitle=“展开查看详情”status=“false”]考点:手撕算法部分函数名已重命名,懒得再找一份原题QAQ开门见山,mainactivity就能找到加密算法入口。函数将输入值剔除flag{},然后传入加密函数。privatestaticBooleanb(Stringstring){//结尾}Booleanresult;intindex=0;if(!stri
SkYe231·2020-08-05 20:28

攻防世界-pwn-100-Writeup

pwn-100[collapsetitle=“展开查看详情”status=“false”]考点:栈溢出、ROP这个栈溢出每次固定要求输入200个字符,也没有别的了。ROP操作也不需要往bss写入/bin/sh,直接在libc找一个就好了。(看到网上有这样的操作orz)#encoding:utf-8frompwnimport*context.log_level='debug'context(os='
SkYe231·2020-08-05 20:28

pwn-100(xctf)

0x0程序保护和流程保护:流程:main()sub_40068E()sub_40063D()通过程序流程我们可以看出在sub_40068E()调用sub_40063D()时发生了栈溢出。0x1利用过程1.这个程序没有system()函数,也没有"/bin/sh"。但是我们程序运行的时候需要libc。而libc中有我们需要的system(),所以我们只需要确定libc的基地址就可以知道system(
whiteh4nd·2020-08-05 20:26

入门堆的过程记录(未完成)

攻防世界这道noleak为例首先要了解几个概念fastbinattackunsortedbinattack_malloc_hook首先fastbinattack,是基于fastbin机制的一种漏洞利用方法要求
月阴荒·2020-08-05 20:25

cgpwn2(xctf)

0x0程序保护和流程保护:流程:main()hello()可以发现在hello()中存在栈溢出。0x1利用过程在函数窗口中发现了system()函数,所以我们只需要字符串"/bin/sh"。就可以getshell了。仔细观察程序可以发现name变量是全局变量存放在.bss段中。所以我们只需要向name中输入"/bin/sh",s=‘a’*(0x26+4)+p32(system_addr)+p32(
whiteh4nd·2020-08-05 20:25

(wp)攻防世界PWN——guess_num

转载自个人博客0pt1mus好久没有做PWN题了,今天开始做一下,把之前的东西捡起来,同时对之前有些知识点也有了新的认识,新的理解。分析首先将附件下载下来,同时通过nc连接一下,了解一下大致的流程。可以看到,先让我们输入用户名,然后输入猜的的数字。然后常规操作,通过file和checksec工具判断文件类型和开启了那些防护措施。可以知道这是一个64位的linux程序,并且开启了部分只读,栈溢出保护
0pt1mus·2020-08-05 20:49

攻防世界-逆向题-IgniteMe

题目描述:一个pe文件运行截图如果乱输入,回车后就退出了,没有循环输入的机制,也没有输入错误提示。解题过程:用exeinfope检测有这是一个32位没有壳的文件。用IDA打开有:下面是文件的main函数结构,根据提示可以确定程序正确执行步骤汇编语言不好读,点击F5查看main函数伪代码有:int__cdeclmain(intargc,constchar**argv,constchar**envp)
露尚稀·2020-08-05 20:42

攻防世界 新手区string

攻防世界新手区string0x00函数分析基本信息[*]'/home/ububtu/ctf/string'Arch:amd64-64-littleRELRO:FullRELROStack:CanaryfoundNX
winterze·2020-08-05 20:25

攻防世界 - re-for-50-plz-50 - writeup

re-for-50-plz-50文件链接->Github初步分析ELFforMIPS,第一次见,特此记录一下知识梳理关于Mips指令,参见这篇博客算法分析主要代码段如下:loc_4013C8:lui$v0,0x4A#加载0x4A到$v0寄存器的高16位addiu$v1,$v0,(meow-0x4A0000)#"cbtcqLUBChERV[[Nh@_X^D]X_YPV[CJ"#此刻$v1寄存器的内容
哒君·2020-08-05 20:22

攻防世界--crackme

测试文件:https://adworld.xctf.org.cn/media/task/attachments/088c3bd10de44fa988a3601dc5585da8.exe1.准备获取信息32
weixin_30876945·2020-08-05 20:36

攻防世界-PWN-Challenge-Wirteup

目录dice_game反应釜开关控制stack2Mary_Mortontime_formatterpwn-200pwn1babycrackdice_game这个提跟新手区一个题很像,都是利用溢出覆盖随机数的种子,使得随机数产生的序列固定,在本地产生序列后脚本提交就可以了ida查看程序栈信息:将seed覆盖为全0,使用c在kali中跑一下:#include#includeintmain(){sran
拾光丶·2020-08-05 20:06

[CTF题目总结-web篇]攻防世界:flatscience

文章目录一、题目分析二、具体思路三、题目总结不会SQL注入的PHPer不是好的python脚本编写者。一、题目分析进入发现站点存在pdf文件链接和子站点,不过能找到的信息也就这些了。那么扫个后台——发现存在login.php和admin.php,根据出题者的hint可知,admin页面无法绕过,并且通过设置debug参数,我们可以查看login页面源码。简单测试发现login页面存在注入点(有报错
T2hunz1·2020-08-05 20:31

攻防世界pwn新手练习区——level0

这是一个简单的利用栈溢出漏洞进行简单的ROP下载附件,将程序放进虚拟机中拿到程序首先检查程序开启了什么保护,输入checksec程序名称checkseclevel0可以看到这是一个64位程序,只开启了NX保护。NX保护简单来说就是代码不可执行。例如你向栈上输入一段shellcode,那么NX保护就是防止这个shellcode的执行。具体内容和其他的程序保护可以参考这个博客。linux程序的常用保护
smsyz2019·2020-08-05 20:43

攻防世界&&BUUCTF逆向练习

BUUCTF——Youngter-drive这是一道多线程的题目,主要理解了一下线程运行的一些问题首先查壳,有壳,进行脱壳,手动失败了,linux里面upx-d就可以了发现不能运行,应该需要修复,但这里比较懒,直接ida静态分析StartAddress开始无法反编译,因为堆栈不平很,这里修改spvalue,option-general-Stack-pointer选项可以显示sp值,这时用alt+k
chan3301·2020-08-05 20:42

攻防世界mobile新手区之easyjava write up

0x00反编译apk拖进JEB2看看:点击MainActivity.classpackagecom.a.easyjava;importandroid.content.Context;importandroid.os.Bundle;importandroid.support.v7.app.c;importandroid.view.View$OnClickListener;importandroid.
KogRow·2020-08-05 20:03

攻防世界PWN之RC4题解

RC4首先,检查一下程序的保护机制然后,我们用IDA分析一下,存在栈溢出漏洞由于开启了canary,因此,我们需要泄露canary,由于低位覆盖泄露出来的信息是加密的,解密可能比较麻烦,我们另选其他方法。功能a里有一个不起眼的漏洞后面,输出了v7的内容然而,v6和v7仅仅在dword_6020CC=0时被初始化,如果它们未初始化,其值会是什么?如果v7未初始化,其值就是canary的值。因此,我们
haivk·2020-08-05 20:25

攻防世界PWN之250题解

250首先,检查一下程序的保护机制然后,我们用IDA分析一下程序存在明显的栈溢出漏洞并且glibc被静态编译到了程序中由于没有开启PIE,且glibc被静态编译包含,那么我们有很多方式getshell,这里,我们使用的是dl_make_stack_executable使得栈变得可执行,然后在栈里布下shellcode来getshell为了节省步骤,我们直接ret到这里这样,我们就不用担心参数的问题
haivk·2020-08-05 20:25

攻防世界PWN之Hacknote题解

Hacknote首先,查看程序的保护机制然后拖入IDA分析这是创建堆,并写入信息。经过分析,大概是这样的typedefstructNote{void*func;//函数指针char*buf;//内容指针}Note;//保存Node的指针数组Note*notes[5];inti=0;voidshow(Note*note){//显示buf的内容puts((char*)(note+4));}voidcr
haivk·2020-08-05 20:25

攻防世界PWN之greeting-150题解

greeting-150首先看一下保护机制然后我们拖入IDA,发现是一个很简单的程序。然而,最后的那个printf(&s);存在格式化字符串漏洞,可以造成任意地址的读写。首先,我们需要确定我们输入的数据的相对位置。经过测试,我们需要在前面填充2个字符,然后接下来我们的数据会位于第12个位置那么,我们的payload=‘aa’+p32(address)+‘%10c%12$n’,我们就能把addres
haivk·2020-08-05 20:54

攻防世界PWN之Babyfengshui题解

本题,首先,为了方便调试,我们需要解决alarmclock问题程序运行几十秒后就会自动退出,所以,为了方便调试,我们需要先修改一下这个二进制我们用十六进制编辑器把这几个指令nop(0x90)掉即可然后,我们就开始做题了查看创建功能的函数这里创建了两个堆,第一个堆用来存储description,第二个堆用来存储第一个堆的指针以及name字符串其数据结构大概是这样的Nodechar*descripti
haivk·2020-08-05 20:54

攻防世界练习(2)

cookie这是我尝试的一道web题,因为初次接触,我是看着wp写的,打开了在现场景,右键打开查看元素,在网络栏找到了cookie,内容为look-here=cookie.php,然后在这里卡了很久,不知道应该怎么刷新,后来偶然试到修改网址,就修改成功了,刷新出了seethehttpresponse然后继续查看元素,依旧在网络栏里找到了flag,复制提交即可。Broadcast今天做了一道非常简单
rreally·2020-08-05 19:16

攻防世界pwn-100(两种方法)详细分析

这题是比较基础的构造ROP链也比较典型,本菜鸡学了受益匪浅(っ°Д°;)っ0x1checksec+file0x2拖进ida分析程序:显然应该进sub_40068E里看看:鸭儿,继续进sub_40063D(v1,200):这里就是一个for循环,每次向i+a1(即:i+v1)所指的内存读取输入1个字节,i不能大于200貌似无懈可击,返回去查看v1所在栈空间大小:只有0x40小于200故存在栈溢出0x
qy201706·2020-08-05 19:44

攻防世界----工业协议分析2

工业协议分析2题目来源:2019工业信息安全技能大赛个人线上赛第一场题目描述:在进行工业企业检查评估工作中,发现了疑似感染恶意软件的上位机。现已提取出上位机通信流量,尝试分析出异常点,获取FLAG。flag形式为flag{}用wireshark打开pcapng文件,发现存在大量UDP流量包,大部分UDP流量包的长度相同,只有一些长度的UDP流量包仅出现过一次,猜测它们可能有异常。查看这些流量包,发
Sylvia_j·2020-08-05 19:40

攻防世界crypto进阶区--告诉你个秘密

告诉你个秘密题目来源:ISCC-2017txt文件内容如下:636A56355279427363446C4A49454A7154534230526D684356445A31614342354E326C4B4946467A5769426961453067最大不超过F,猜测十六进制,将其转成字符串cjV5RyBscDlJIEJqTSB0RmhCVDZ1aCB5N2lKIFFzWiBiaE0g感觉像ba
Sylvia_j·2020-08-05 19:40

攻防世界crypto进阶区--flag_in_your_hand

flag_in_your_hand题目来源:CISCN-2018-Quals附件解压后,是一个HTML文件和一个js文件打开网页,查看源码,可以发现要让ic的值为true,才能拿到flag查看js文件,发现只有第二个if语句条件不成立的时候,ic的值才能为true而满足这个函数的条件的输入串s,就是token则a数组的每一个元素减去3,再转换成对应的字符,就可以得到token的值:security
Sylvia_j·2020-08-05 19:40

攻防世界--misc--Aesop_secret

Aesop_secret题目来源:2019_ISCC附件解压后是一个GIF图片第一反应想到动态图片分解,得到一张这样的图片,感觉和flag搭不上关系。用notepad++打开图片,在文件末尾发现了一串密文U2FsdGVkX19QwGkcgD0fTjZxgijRzQOGbCWALh4sRDec2w6xsY/ux53Vuj/AMZBDJ87qyZL5kAf1fmAH4Oe13Iu435bfRBuZgH
Sylvia_j·2020-08-05 19:40

攻防世界crypto进阶区之sherlock

sherlock题目来源:bitsctf-2017附件是一本书的内容,发现其中有些字母莫名地大写利用命令cat文件名|grep-Eo'[A-Z]'|tr-d'\n'将大写字母提取出来cat1.txt|grep-Eo'[A-Z]'|tr-d'\n'这是提取出来的内容:ZEROONEZEROZEROZEROZEROONEZEROZEROONEZEROZEROONEZEROZEROONEZEROONEZ
Sylvia_j·2020-08-05 19:40

攻防世界crypto练习-- easychallenge && easy_RSA

easychallenge题目描述:你们走到了一个冷冷清清的谜题前面,小鱼看着题目给的信息束手无策,丈二和尚摸不着头脑,你嘿嘿一笑,拿出来了你随身带着的笔记本电脑,噼里啪啦的敲起来了键盘,清晰的函数逻辑和流程出现在了电脑屏幕上,你敲敲键盘,更改了几处地方,运行以后答案变出现在了电脑屏幕上。附件是一个.pyc文件,百度后发现要反编译。我用的在线反编译,得到源代码。importbase64defenc
Sylvia_j·2020-08-05 19:39

攻防世界)(pwn)welpwn

这题服务器远端的libc版本是libc-2.23.so而不是libc-2.19.so的版本(害得我编译半天出不来)看到题目,我们下载附件,一看是个tar.gz文件,我们解压一下,发现里面有三个文件:我就心想,这个攻防世界怎么就这么好心这次
PLpa、·2020-08-05 19:58

攻防世界MSIC进阶区 11-15 题

MISC高手区11-15题11、神奇的Modbus1、用wireshark打开,按照分组字节流,搜索关键字sctf,可以直接得到flagModbus:是一种串行通信协议。Modbus已经成为工业领域通信协议事实上的业界标准,并且现在是工业电子设备之间常用的连接方式。Modbus协议目前存在用于串口、以太网以及其他支持互联网协议的网络的版本。大多数Modbus设备通信通过串口EIA-485物理层进行
Yzai·2020-08-05 19:57

攻防世界MISC进阶区6-10题

攻防世界MISC进阶区6-10题文章目录攻防世界MISC进阶区6-10题6、Test-flag-please-ignore7、Banmabanma8、Hear-with-your-Eyes9、What-is-this10
Yzai·2020-08-05 19:57

攻防世界MISC新手区1-12题

攻防世界MISC新手区1-12题writeup文章目录攻防世界MISC新手区1-12题writeup第一题:thisisflag第二题:pdf第三题:如来十三掌第四题:give_you_falg第五题:
Yzai·2020-08-05 19:57

攻防世界pwn新手练习(when_did_you_born)

when_did_you_bornok多余的话就不继续累赘了昂,直接上手程序同上次一样开了NX(堆栈不可执行)和CANNARY(栈保护)。接下来我们首先运行一遍程序一个没什么意义的程序…注意他的输入的有两处ok,接下来我们用IDA直接看代码很明显的可以看到当输入的年份为1926时可以得到flag。但是有个问题,在年份输入后它会有个判断当年份为1926时会报错并跳出…emmm。。。。。。这怎么搞全文
BurYiA·2020-08-05 19:25

攻防世界pwn新手练习(get_shell)

get_shellpwn入门题目,做题之前先说几个常用的工具(大佬总不至于跑来找这个题的wp吧手动狗头)IDAProIDA是一款优秀的静态反汇编工具,好处就不多说了,什么一键F5、字符串搜索、函数位置查找等等,好用的不得了,下载可以去看雪论坛找。pwntoolspwntools官网是这样说的:pwntools是一个CTF框架和开发库。它是用Python编写的,旨在快速构建原型和开发,并使利用编写尽
BurYiA·2020-08-05 19:25

攻防世界pwn新手练习(cgpwn2)

题目链接分析我们来看这道题,首先checksec并运行一下可以看到是32位程序,有两个输入点,保护只有NX。接下来我们在ida中看看分析。在hello函数的最后我们可以看到这些东西这就是程序给我们的两个输入点,可以看到第二个是gets,那就很方便了,直接溢出利用就行,翻看其他函数我们可以发现有一个system函数很遗憾的是只有system函数而没有我们需要的shellcode看来只能我们自己往程序
BurYiA·2020-08-05 19:25

攻防世界 reverse 的logmein writeup

main函数的反汇编如上图。拿到ida静态分析了一下,通读后main的反汇编后的代码,大体了解了flag应该是通过(char)(*((_BYTE*)&v7+i%v6)^v8[i])来确定的。然后就是一些小细节了1.input_string的长度if(v3=strlen(v8)quit();if(i>=strlen(v8))//strlen(input_string)#include#include
邻家男孩CRX·2020-08-05 19:53

XCTF 4th-QCTF-2018 dice_game

首先开一下保护除了canary什么都开了。。。然后就打开ida分析:read函数造成了栈溢出漏洞。继续审代码,发现是一个游戏。该程序首先让输入name,并且使用read来读入数据,故而此处存在栈溢出漏洞。下方看见程序使用seed、srand生成随机数。当我们猜对50次随机数时程序会调用sub_B28函数,从而得到flag.这个随机数咋办呢,,有栈溢出漏洞可以利用,所以就想着能不能将seed给覆盖掉
Ch3mod777·2020-08-05 19:48
上一页 18 19 20 21 22 23 24 25 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他