简介:项目地址:https://coding.net/u/yihangwang/p/pwnme/git(pwn题目及writeup汇总)下载地址:https://dn.jarvisoj.com/challengefiles

简介:你猜，你猜，你猜不到，你猜对了就给你flag**ncpwn.jarvisoj.com9878**[guess.0eff3b4fdf70b3d7c2108758691c9be3](https://dn.jarvisoj.com

下载文件，首先checksec检查一下保护，发现只开启了NX堆栈不可执行。接下来我们拖进IDA看一下程序的主要流程。很简洁的程序，可以看到read函数存在栈溢出。再来看看有什么后门函数可以利用吗？可以看到这个函数的意思就是读取本地的flag，然后进行输出。只要我们进行栈溢出，将返回地址覆盖成这个函数的地址就可以拿到flag了。1frompwnimport*2importtime3p=process

简介:项目地址:https://coding.net/u/yihangwang/p/pwnme/git(pwn题目及writeup汇总)下载地址:https://dn.jarvisoj.com/challengefiles

checksec查看一下保护的情况checkesc好的，只开启了NX，其余的都没有开启。进入ida，shift+F12发现了“bin/sh”字符串，想到要从这部分入手了。ida里面找到的bin/sh主要程序反汇编后和level一样，栈溢出很容易找到溢出点。关键点在于32位和64位传递参数的时候是不同的，32位是所有的参数都入栈，而64位是从第一个到第六个依次保存在rdi，rsi，rdx，rcx，r

题目链接：请选手观察以下密文并转换成flag形式..-..-...---........---..--------.-------..-..-....-............-----..--...-...-----...-----....--.-------...----..----...--...--...--...-.......--....-.---------flag形式为32位大写m

ClassicalCrackMe2真的是学到了很多东西....首先PEID看一下是用C#写的，所以用dnspy进行反编译，找到了关键的类：然后点进去发现了关键函数，即if比较函数：也就是text不为空并且text2等于一个xxxx，在这里下断点就发现text是输入的数据，text2就是每次给出的错误弹窗里面的一串base64，当text2的值等于后面的字符串的时候，弹窗就会显示flag。那就先来看

jarvisojflag在管理员手上涉及知识点：（1）代码审计和cookie注入（2）哈希长度拓展攻击解析：进入题目的界面。看到那么就是想方设法的变成admin了。挂上御剑开始审计。发现cookie有点问题，这个role很明显是guest字符串的序列化。那么是不是简单的把role换成admin的序列化就可以了？尝试了一下，果然不行。这时候，御剑扫到东西了。看了一下是个index.php~文件，看了

简介:地址:ncpwn2.jarvisoj.com9881程序:level0.b9ded3801d6dd36a97468e128b81a65d分析:查看文件类型Paste_Image.png在相应的环境中运行程序

题目入口：[http://web.jarvisoj.com:9891/](http://web.jarvisoj.com:9891/)分析:Paste_Image.png首先是一个登录界面,只有一个密码输入框

简介:Tryithere:pwn.jarvisoj.com:9881题目来源：cncert2016[http.49cb96c66532dfb92e4879c8693436ff](https://dn.jarvisoj.com

http://web.jarvisoj.com:9891/分析：随便post密码，提示{"errid":1,"errmsg":"WrongPassword!!"}

题目地址：https://dn.jarvisoj.com/challengefiles/smashes.44838f6edd4408a53feb2e2bbfe5b229关于canary对于栈的保护，它的值一旦被改变程序便会结束

TellMeSomething题目文件使用checksec查看保护机制：开启了NX保护（栈不可执行）关键在于理解栈帧结构，找到good_name的地址后。过程中遇到一个疑问，为什么payload是’a’*0x88+add而不是’a’*0x90+add，即为什么没有oldebp。看汇编：并没有oldebp出栈的操作。payload：frompwnimport*r=remote('pwn.jarvis

首先我们看下下载下来的文件，发现不能运行，我们用ExeinfoPE查看一下文件发现是一个Pyc文件，我们把后缀名改为pyc什么是pyc文件？答：pyc文件是python脚本生成的一种字节码文件（可以使用python-mpython脚本名生成pyc文件）pyc文件我们可以通过反编译工具直接把字节码文件解释成源代码形式我们使用uncompyle6这个第三方库可以使用pipinstalluncompyl

MediumRSA使用openssl读取公钥文件n不大，直接使用yafu进行因数分解生成私钥解密文件得到flag附：openssl使用手册题目文件BrokenPic打开后发现缺少文件头，使用winhex补上。提示中给了图片大小，用文件大小除图片大小即可得到每个像素占用的位数，3148800/(1366*768)≈24。图片可以看了：然后可以看到有key，后发现bmp内的数据变化很规律，可能是块密码

前言：总结一下最近做过的jarvisoj的web题，有的很有意思，能学习到很多新知识LOCALHOST提示很明显，伪造IP地址即可抓包进行伪造，即可得出flagLogin一个提交页面，源码中也没有发现什么线索

这题真的学到超多！要点：vim留下的临时文件反序列化忽略多余字符串HASH拓展攻击参考了以下题解及文章:https://www.jianshu.com/p/5342d07a6956http://element-ui.cn/news_show_25227.shtmlhttps://www.cnblogs.com/pcat/p/5478509.htmlNotes:MD5拓展攻击时，由于Salt不知道长

Rabin密码体制最近在做JarvisOJ上的hardRSA，谈到Rabin密码，就顺便研究了一番。

Jarvisoj平台部分WriteUP1.菜刀http://web.jarvisoj.com:32782考点:SSRF，文件包含（非预期）主页只有一张菜刀图片和管理员登陆链接，点击管理员登陆，跳转至http

反序列化专题http://web.jarvisoj.com:32768此题为反序列化中最简单的一类题目：源码中存在反序列化函数，类中有可利用的函数，并且该函数在反序列化后被调用。

jarvisojweb平台练习一一PORT51题目入口：[http://web.jarvisoj.com:32770/]image.png以本地的51号窗口访问服务器即可windows下curl--local-port51http

使用OD动态调试。插件->中文搜索引擎->搜索UNICODE，可以在搜索到的字符串中找到你赢了。双击后进入代码段：向上看看到关键代码：就是将输入的字符串和某字符数组逐字节异或，再和某字符数组比较。动态调试得到这两个数组的数据，异或即可得到flag：a='2857646b938f6551e353e44e1aff'b='1b1c1746f4fd2030b70c8e7e78de'a=a.split()b

.net程序，使用dnSpy动态调试。start开始调试，stepover找到程序入口点：这个名字奇怪的类应该很关键，点进去看看，发现关键代码：下断点调试发现text是我们输入的字符串，text2是text经过某函数处理之后的字符串，当text2为==后面的函数返回的字符串时，弹窗flag，进到那个函数里去看一下，并在返回值处下断点：现在回去看text是怎么变成text2的：单步调试，可以发现by

知识点页面只返回True（密码错误）或False（用户名错误），考察SQL盲注。解题步骤admin//尝试admin提示密码错误，其他用户名均提示用户名错误'or1=1#//提示用户名错误，过滤了空格或or'or/**/1=1#//提示密码错误，确定过滤了空格'or/**/ascii(substr(database(),1,1))>1#//提示密码错误，可以开始爆破了爆出数据库名：importst

FindKeyfile查看文件类型，发现是python编译过的文件。把文件名后缀改为.pyc，使用uncompyle6反编译得到源码。#uncompyle6version3.2.5#Pythonbytecode2.7(62211)#Decompiledfrom:Python2.7.12(default,Nov122018,14:36:49)#[GCC5.4.020160609]#Embeddedf

0x00前言发现一个很好的ctf平台，题目感觉很有趣，学习了一波并记录一下https://www.jarvisoj.com0x01Port51题目要求是用51端口去访问该网页，注意下，要用具有公网的计算机去连

/level1')p=remote("pwn2.jarvisoj.com","9877")p.recvuntil(":")r=p.recvuntil("?

知识点hash长度扩展攻击深入理解hash长度扩展攻击（sha1为例）0x01扫描后台目录，发现index.php~，下载后打开，发现是乱码，文件头部是vim版本号。这其实是index.php的备份恢复文件，修改文件名为.index.php.swp，输入命令vim-rindex.php得到恢复后的index.php。源码如下：Web350body{background:gray;text-alig

0x01查看html源码：得到index.phps中的源码：";if(!$_GET['id']){header('Location:index.php?id=1');exit();}$id=$_GET['id'];$a=$_GET['a'];$b=$_GET['b'];if(stripos($a,'.')){echo'Hahahahahaha';return;}$data=@file_get_co

知识点查看源码0x01查看html，发现图片的加载方式明显存在猫腻：c2hpZWxkLmpwZw==base64解码后是shield.jpg，将其换成index.php的base64编码aW5kZXgucGhw，输入到url中得到index.php的源码：readfile();?>继续将其换成shield.php的base64编码c2hpZWxkLnBocA==，得到shield.php的源码：f

目录level0level1level2level2_x64level3Level3_x64level0题目明显提示：buf的长度是0x80，可以直接覆盖掉returnaddress到callsystem函数level1漏洞是一样的，难度加大：没有system函数地址，需要泄露；没有"/bin/sh"，需要用read函数写入bss段看起来很眼熟：ROP基本用法~类似：RCTF2015welpwn（

[xman]level0file:64位程序静态链接加载函数checksec:NX开启(堆栈不可执行)info:系统库函数加载到了程序中tip:1.64位程序特性:寄存器长度为8,函数传参优先使用寄存器传参（顺序从左向右,rdirsirdxrcxr8r9）,超过6个参数时使用栈传参padding长度需要考虑leave指令(类似于movsp,bp;popbp)，所以padding长度为0x80+8e

题目地址:http://web.jarvisoj.com:32768/一般套路,先看HTTP头,源码通过扫网站发现存在index.pnp访问也没有什么东西尝试:http://web.jarvisoj.com

https://www.jarvisoj.com/challengesBasic-.-字符串请选手观察以下密文并转换成flag形式..-..-...---........---..--------.

最近经常看到XXE出没，以为是最近才出现的一种类型，后来发现14年，乌云上面就有好多的案例，实在是我太lo了~@Time：2018/11/15在jarvisoj上面有着一道xxe的练习题，感兴趣的大佬可以去玩玩

题目链接：http://web.jarvisoj.com:32772思路：打开链接是一个提交password界面，放到burp里看一看呀~看到有提示哦~Hint:"select*from`admin`wherepassword

题目链接：http://web.jarvisoj.com:32772思路：打开链接是一个提交password界面，放到burp里看一看呀~看到有提示哦~Hint:"select*from`admin`wherepassword

  在接触jarvisoj平台的题目的时候，，第一个感觉就是考察的技能点比较多，比较全面，较其他平台相比题目比较难。但是当我们在努力弄懂一个题目考察的技能点及其解题思路的时候，收获也是很大的。

  在接触jarvisoj平台的题目的时候，，第一个感觉就是考察的技能点比较多，比较全面，较其他平台相比题目比较难。但是当我们在努力弄懂一个题目考察的技能点及其解题思路的时候，收获也是很大的。

地址：ncpwn2.jarvisoj.com9877第一步：用checksec看开启了哪些保护32位的程序编译时关了栈不可执行保护第二步：用IDA看伪代码进去之后F5看到主函数跟进vulnerable_function

下载文件：https://dn.jarvisoj.com/challengefiles/udf.so.02f8981200697e5eeb661e64797fc172分析file看属性。

http://web.jarvisoj.com:32785/EasyGallerySubmitYourphotosanddescriptionsofphotos~上传页面http://web.jarvisoj.com

http://web.jarvisoj.com:32787/分析：输入admin和123，提示密码错误。输入admin'和123，提示用户名错误。

这个题目乍一看和level2一模一样，不过给的文件里面多给了我们一个libc动态链接库。checksec看一下，依旧是有着nx，所以shellcode拿到shell基本是没戏了。ida打开level3看一下里面也没有找到system函数，也没有找打“bin/sh”的字符串。level3里面的函数不如再拿ida看看那个动态链接库吧！动态链接库好的！什么都有了，system也有，“bin/sh”也有！

checksec看一下，没什么特别的。想起来了就再把checksec复习一下吧，checksec，是用来检查可执行文件属性的。Arch：说明这个文件的属性是什么，说明是32位的程序。Stack：canary，这个主要是说栈保护的东西，所利用的东西就是相当于网站的cookie，linux中把这种cookie信息称为canary，所以如果开启了这个，就一般不可以执行shellcode了。RELRO：设

经历了前面２次的艰难，出题人或许嫌我们太累了，来了个简单的走进程序找信息。开启的保护只有NX.rodata:080487E000000009Ccatflag这里有命令字符串catflag0804A058system这里有system函数，然后找漏洞吧int__cdeclmem_test(char*s2){intresult;//eaxchars;//[esp+15h][ebp-13h]memset

(JarvisOj)(Pwn)Smashes查看保护。打开了栈保护。看上去有点麻烦。再来分析下程序代码。如下是主要的函数体部分。

JarvisOJ-WEB-WRITE-UP（一）PORT51题目链接:http://web.jarvisoj.com:32770/访问页面之后，页面显示：Pleaseuseport51tovisitthissite

(JarvisOj)(Pwn)level3首先用checksec查看一下保护。依然开启了NX保护。ida反汇编，找到溢出点。