GGbomb

摘要： 检查一下保护状态 接着ida看代码逻辑 看func函数 第一次看真没发现有什么漏洞，题目给了backdoor，虽然strlen可以\x00绕过，但是strcpy函数也限制漏洞的实现。仔细看的话，会发现v3的类型是 unsigned __int8 v3; 说明v3是一个字节来表示的，可表示的范围只有0 阅读全文

摘要： 打开附件的流量包 可以发现有很多的tcp协议数据，追踪tcp协议数据看看 可以发现tcp数据流中有很多类似坐标的东西，先把这些数据另存为txt保存，如何用正则表达式提取这些数据，提取脚本如下： import re with open("data.txt", "r", encoding="utf-8" 阅读全文

摘要： 附件下载下来有三个东西。 点开exe，发现是鸡哥 判断应该是.net程序(.NET 是一个免费的跨平台开源开发人员平台，用于生成许多不同类型的应用程序。 凭借 .NET，可以使用多种语言、编辑器和库来生成 Web、移动应用、桌面应用、游戏和 IoT 应用),可以用dnspy打开，那个exe和json 阅读全文

摘要： 栈迁移的利用的过程不是很复杂，原理方面是比较麻烦：栈迁移原理介绍与应用 - Max1z - 博客园 (cnblogs.com) 这里简述一下栈迁移的利用过程： 我们先来看一下这道题的程序保护情况： 开了canary，接着看代码逻辑 这里的printf("Hello, %s\n", buf);可以发现 阅读全文

摘要： 附件下载下来是一个流量包，用wireshark打开该流量包，然后搜索字符串"flag",就会出现如下的jsfuck代码 右键onlick显示分组字节 可以看到很大一串的jsfuck代码，现在是需要运行这段代码，可利用在线网站运行：JSFuck - 在线加解密 (bugku.com)，运行完就是fla 阅读全文

摘要： 直接用脚本： def shrinkBFCode(code): cPos2Vars = {} #位置对应的变量 cPos2Change = {} #位置中 + 号 增加的值 varPos = 0 nCode = [] incVal = 0 lc = None dataChangeOp = set([' 阅读全文

摘要： 这道题是简单的libc，不过多分析了 exp： from pwn import * from LibcSearcher import * io=remote("node5.anna.nssctf.cn",28341) elf=ELF("./pwn") put_got=elf.got["puts"] 阅读全文

摘要： 拿到程序先查一下保护状态 可以发现保护全开，再看一下程序的逻辑 可以发现，这里有一个fork函数： C语言中的fork()函数用于创建一个新的进程，该进程是原始进程（父进程）的一个副本。这个副本将从fork()函数之后的代码行开始执行，父进程和子进程在此处分别继续执行不同的代码。fork()函数的返 阅读全文

摘要： 拿到程序，我们先查一下有没有加壳，发现没有加壳，并且是64位程序，拖进ida分析其代码逻辑 int __cdecl main(int argc, const char **argv, const char **envp){ void **v3; // rcx __int64 v4; // r8 si 阅读全文

摘要： 查一下程序保护情况 发现是partial relro，说明got表是可以修改的，下一步看代码逻辑 看到这一段 puts(&seats[16 * v0]);存在数组越界的漏洞，因为上面的代码没有对v0进行负数的限制，v0可以是负数，我们来看一下seat的数据 可以发现seat上面的数据就是got表，s 阅读全文