刚比赛完的一段时间期末考试云集，没有时间复现题目。趁着假期，争取多复现几道题。复现平台buuoj.cn解题过程首先进入题目页面看起来没有什么特别的，就是一个可以提交信息的页面。查看响应报文也没有什么提示，但是在网页注释里有东西。这里可能有一个文件包含，尝试payloadhttp://xxx.xxx/index.php?file=php://filter/convert.base64-encode/

感谢buuoj的大佬们搭建的复现环境。作为一位CTF的初学者，我会把每个题目的writeup都写的尽量详细，希望能帮到后面的初学者。http://web42.buuoj.cn文章会不定时继续完善，完善内容可能包括分析的错误、语病和文章结构等。复现过程进入解题页面发现需要登录，这里只需要注册一个账号然后登录即可。登录以后是一个网盘的页面，最开始只有上传功能，并且只能上传png,jpg等图片格式。随便

这道题过滤了常用的语句，还过滤了空格和/**/，一番分析之下发现果然我这种菜鸡只能看wp了。然后学会了一种新的思路0^(ascii(substr((select(flag)from(flag)),1,1))=ascii('f'))脚本：importrequestsimporttimeurl='http://76eeac1c-8521-4f23-83f5-9e41b5f7b2d4.node3.buu

F12查看源码，发现存在传参尝试通过伪协议文件包含读取源码：http://467ceaa4-2e02-46f9-b14a-25ec91a65986.node3.buuoj.cn/?file=php://filter/convert.base64-encode/resource=index.php发现除了index.php还存在这几个php文件：confirm.php，delete.php，chan

可以在页面上看到提示，flag在flag表flag列里在查询0，1，2时会获得不同的回显，0回显：ErrorOccuredWhenFetchResult.1：Hello,glzjinwantsagirlfriend2：Doyouwanttobemygirlfriend?初步判断0字段应该不存在，1，2存在尝试输入or时发现被ban，我们可以fuzz一下长为482的都是不允许的可以发现select，

[CISCN2019华北赛区Day1Web1]Dropbox打开题目，一个登录界面，SQL?

前言又是颓废的一天，在家已经5个月了做题速度太慢了。。。跟不上进度。我是懒狗读题sql注入题，而且直接告诉你flag在表flag中的flag字段。让你提交查询id查询1和2会有回显，输入其它数值都会提示错误。抓包跑一下字典看一下过滤的内容（学到的新技能，原来bp的intruder还能这样用），字典的内容就是常见的sql注入的一些函数名、符号啥的不过有一点是，BUU有限制，访问太快会提示429拒绝访

过滤了很多sql字符，最终发现可以盲注，跟极客大挑战的fianlsql注入一样，这边告诉你表名和列名了直接输入语句1^(ascii(substr((select(flag)from(flag)),1,1))>1)^1盲注手去敲太费时间，结合finalsql的经验，写脚本，注意这是post请求奉上卑微脚本(看到大哥写的脚本太狠了）importrequestsimporttimeurl="http:/

复现环境:buuoj.cn输入0：ErrorOccuredWhenFetchResult.输入1：Hello,glzjinwantsagirlfriend.输入2：Doyouwanttobemygirlfriend?输入3：ErrorOccuredWhenFetchResult.题目提示信息说表名和字段名都是flag，给出id就能得到flag脚本如下importrequestsimporttime

查看源码可能有用伪协议读取源码利用此方法依次读取到delete.php,confirm.php,change.php,search.php,不一一展示了，直接看存在漏洞的confirm.php和change.php//confirm.phpquery($sql);}if($fetch->num_rows>0){$msg=$user_name."已提交订单";}else{$sql

一个盲注过滤了很多东西最后发现这样可以正常回显id=1^(if((ascii(substr((select(flag)from(flag)),1,1))=102),0,1))写脚本一位位爆破，二分法找#!/usr/bin/python#-*-coding:utf-8-*-importrequestsimportredefflag_get(start,f,url):#确定start位的字符a='1^

已同步到个人博客：www.radishes.top2016年CISCN一道150分的逆向下载文件后发现是64位ELF文件，运行一遍发先需要传入命令行参数，没想那么多，直接拖入IDA中查看反汇编出来的代码

目录简介思路exp内容来源简介简单的记录下思路，具体分析可以参考L.o.W师傅的博客思路题目没有开启pie以及got表不可写，所以我们可以利用修改got表的方式进行leak跟getshell。chunkoverlap堆风水排布，主要利用idx为16的chunk的特殊性来造成堆块重叠，方便我们修改其他chunk的内容。tcacheattack通过tcacheattack将chunk分配到bss段中存

这个反编译有点不准确，不过大概意思能理解到，先读入0x64字符到bss段上，然后用gets函数读入到栈上什么保护都没开，我们发现可以直接执行bss段上的代码思路很简单，将shellcode写入bss段，然后栈溢出rop到bss段上执行shellcode，拿到shell注意栈帧大小frompwnimport*fromLibcSearcherimport*fromstructimportpackcon

题目是一道32位程序，依旧是rop仔细观察可以发现漏洞出在GetFlag函数的strcpy上，我们可以输入的字符有128个，而复制字符串的栈空间只有0x48字节程序本身存在fflush函数，我们可以直接用它的sh来当作system的参数frompwnimport*fromLibcSearcherimport*fromstructimportpackcontext.os='linux'context

对数据挺敏感的一道题1.检查checksec.png2.反汇编有四个功能unsigned__int64menu(){unsigned__int64v0;//ST08_8v0=__readfsqword(0x28u);puts("1.malloc");puts("2.free");puts("3.edit");puts("4.show");return__readfsqword(0x28u)^v0;

BUUCTF-PWN刷题日记ciscn_2019_n_8not_the_same_3dsctf_2016[HarekazeCTF2019]baby_ropjarvisoj_level2one_gadgetbjdctf

目录wustctf2020_name_your_cat（数组越界修改返回地址）wustctf2020_name_your_dog（数组越界修改GOT表）ciscn_2019_c_3（绕过不能直接修改fd

one_heap（doublefree，partialrewrite，利用_IO_2_1_stdout_泄露libc）SWPUCTF_2019_p1KkHeap（doublefree，劫持tcache控制结构）ciscn

HCTF2018]admin[RoarCTF2019]EasyCalc[极客大挑战2019]EasySQL[强网杯2019]高明的黑客[极客大挑战2019]Havefun[SUCTF2019]CheckIn[CISCN2019

picoctf_2018_bufferoverflow2expfrompwnimport*context.log_level='debug'defdebug_pause():log.info(proc.pidof(p))pause()proc_name='./PicoCTF_2018_buffer_overflow_2'p=process(proc_name)p=remote('node3.buu

关于phar反序列化——BUUCTF[CISCN2019华北赛区Day1Web1]Dropbox先看看phar是啥https://blog.csdn.net/u011474028/article/details

ciscn_2019_sw_7首先检查一下程序的保护机制然后，我们用IDA分析一下，最多创建10个堆，并且size不能超过0x60Delete功能没有清空指针，因此可以doublefree。

flag_in_your_hand题目来源：CISCN-2018-Quals附件解压后，是一个HTML文件和一个js文件打开网页，查看源码，可以发现要让ic的值为true，才能拿到flag查看js文件，

[CISCN2019总决赛Day2Web1]Easyweb访问页面，发现是个登录框，，，，查看一下源码存在一个image.php页面，还有id号，怀疑存在sql注入输入啥都没反应，，，，后面找到有个robots.txt

思路通过格式化字符串是程序无限循环(__do_global_dtors_aux_fini_array_entry内存的地址写成main函数地址)我们是通过libc_start_main调用main函数不管是在man函数调用前后都会调用fini函数的指针所以只要将其写坏即可然后将print_got表写成system即可拿到shellexp:frompwnimport*#p=process('./ci

由于Ubuntu18运行机制与前面版本的不同，在调用system的时候需要进行栈对齐0x1检查文件64位elf无canary无PIE 0x02流程分析根据运行的流程，这个程序主要有两个功能，加密功能可以使用，但解密功能没办法使用，并且能够输入的地方就两个，一个选择程序，数字输入，第二个输入加密文本，字符串类型，之后的静态分析主要关注这两个地方。 0x02静态分析  经过分析，主要漏洞点在加密函数之

前言闲来无事，刷一刷BUUCTF的题目，记录一下[极客大挑战2019]Havefun[CISCN2019华北赛区Day2Web1]HackWorld[极客大挑战2019]SecretFile[极客大挑战

BUUCTF2018onlineToolsACTF2020新生赛includeZJCTF2019NiZhuanSiWeiACTF2020新生赛ExecSUCTF2019PythonginxBJDCTF2020EasyMD5CISCN2019

目录题目题解知识点JWTPython序列化与反序列化手撸pickle__reduce__构造pickling的协议题目题为[CISCN2019华北赛区Day1Web2]ikun题解打开，看到这里看来要找到

Web1、JustSoso拿到源码打开靶机，查看源码得到提示：一看就是文件读取，然后就文件读取走一波。file=php://filter/read=convert.base64-encode/resource=hint.phpbase64解码拿到hint.php的源码：$v){$this->$k=null;}echo"Wakingup\n";}publicfunction__construct($

checksec一下，栈溢出IDA打开看看，main函数内只有一个callvuln注意到vuln函数末尾并没有使用leave指令，即直接把之前push的rbp当作returnaddress我们要ROP的话offset只需要0x10程序里还给了一些gadget，注意到当rax=0x3b时syscall为execve，只需要让rdi="/bin/sh"、rsi=0、rdx=0即可getshell注意到

ciscn_s_4一个栈迁移程序有两个read函数和printf函数。程序有system函数，但是函数执行的功能只是输出字符串flag，并不能读取到flag。

分析:程序的逻辑比较简单，漏洞点在encrypt函数中的gets函数中在encrypt函数中由gets函数输入数据，随后程序对输入的数据进行加密1.如果是小写字母跟0xD异或2.如果是大写字母跟0xE异或3.如果是数字跟0xF异或在这个循环中会破坏我们设置好的数据，但是可以通过两次异或运算又转换为我们设置好的数据二进制文件中没有出现getshell和system之类的函数，所以要通过泄露libc地

/ciscn_s_1')p=remote('node3.buuoj.cn',26429)elf=ELF('.

/ciscn_s_4')elf=ELF('./ciscn_s_4')#libc=elf.libcelse:p=remote('node3.buuoj.cn',26963)elf=ELF(

序言第一次在大赛中做出PWN题,心情有点小激动.程序运行0.结构体structnode{charname[16];intprice;intsize;char*des;}commodity[15];1.MENU1.addacommodity2.delacommodity3.listcommodities4.Changethepriceofacommodity5.Changethedescriptio

0x01文件分析 0x02运行 有一个回显，并且还有多余的字符显示，接着看代码分析一下。 0x03IDA源码 由后面的函数可以看出，这个程序使用的系统调用，并且vuln里面存在栈溢出。 在程序之中的gadgets存在着两个为rax赋值的gadget，15的系统号是rt_sigreturn，3b的系统调用是execve，利用这两个可以执行系统调用得到shell。 execve的系统调用可以参照vul

这题是全国大学生信息安全竞赛的一道线下半决赛题目，好像是华南赛区？例行检查。分析程序。vul函数两个系统调用，一个是sys_read，一个是sys_write，往栈上写数据（0x400），从栈上读数据（0x30），存在栈溢出。还有一个gadget函数。有两个值得注意的地方。movrax,0fh以及movrax59。这两个gadget控制了rax的值，看看这两个是什么系统调用。15sys_rt_si

例行检查保护全开，分析程序。add函数只能申请小于0x78大小的chunk，chunk数量不能超过24个，且题目给了申请到内存空间的地址。free函数free后指针没有置0，且libc是2.27的，存在tcachedup。唯一问题就在于如何得到libc的地址。泄露libc地址一般通过unsortbin，存在tcache的情况下，64位程序需要申请超过0x400大小chunk，free之后才能进un

文章目录ciscn_2019_es_7-ciscn_2019_es_1hitcontraining_bambooboxhitcontraining_heapcreatorpicoctf_2018_can_you_gets_meciscn

这题对还是萌新的我来说有点难，用的SROP可以看到gadget函数里rax可以从两个值里选一个，选3b就是rop，选0f就是srop。本题因为vul里没有leave，只有ret，所以溢出为0x10在送过去p1=flat([’/bin/sh\x00’,‘b’*8,read_write])之后，可以得到0x30个字符的回应。通过把断点下在write（0x400503），然后调试，可以接收到0x30个字

main函数，存在八个字节溢出，栈迁移，第一次泄露ebp，得到栈上buf地址，迁移到buf即可。frompwnimport*io=remote('node3.buuoj.cn',28060)leave=0x8048562sys_plt=0x8048400pl1='a'*0x24+'bbbb'io.send(pl1)io.recvuntil('bbbb')ebp=u32(io.recv(4))pri

1.测试过滤我想到到了：联合注入：unin被过滤报错注入：and、or、updatexml被过滤bool注入和time注入：and、or被过滤可以通过fuzz测试（模糊测试），发现哪些字符被过滤了。length为482的，全都是被过滤的。然后就在网上学了一些技巧：利用/*!union*/可以绕过对union的过滤，虽然这题不能用，但是记一下吧。2.异或这东西和那个堆叠注入一样，就见过一次，从此再也

前言总结一下各大赛事中的沙箱逃逸题，感觉还是很好玩的~先说一下自己对于这种沙箱逃逸题的理解吧，关键在于绕过，一般就是逼你用一些特别的操作去绕过他ban掉的函数，得到flag空说无意，我们直接来看比赛中的一些题目~2018ciscn

知识点轰炸1.1open_basedir在in_set这个函数中，可以设置php的一些配置，其中就包括open_basedir，用来限制当前程序可以访问的目录。后来问了一下朱师傅，了解到：它是可以访问设置目录下的所有下级目录。若"open_basedir=/dir/user",那么目录“/dir/user”和“/dir/other"都是可以访问的。所以如果要将访问限制在仅为指定的目录，请用斜线结束

环境：[CISCN2019华北赛区Day2Web1]HackWorld复现地址：BUUCTF打开题目直接告诉了flag在flag表和flag列里，让我们提交id。

BUUCTFWEB[CISCN2019华北赛区Day2Web1]HackWorld打开题目，看提示貌似是一个sql注入的题目~~进行简单测试，貌似不是报错注入，直接进行盲注测试，构造一波！！

0x01源码download.phpopen($filename)&&stristr($filename,"flag")===false){Header("Content-type:application/octet-stream");Header("Content-Disposition:attachment;filename=".basename($filename));echo$file->

是一个64位程序，拿到题目放入IDA中分析，一堆函数没找到主函数。题目提示又是gogogo就想到了最近常听到的go语言。查了一下资料知道找不到main函数的go语言程序，是无符号的。为了方便分析使用脚本IDAGolangHelper-master去符号信息还原。ALT+F7引用这个脚本，出现如下界面，前面两个检测版本，检测出为1.8or1.9or1.10选择一下下面的版本，把剩余三个按钮全点一遍之