摘要: 嘛 这题直接给了源码 逻辑属于比较清晰的,还可以看到一种之前没见过的花指令,很有意思。 _asm { call sub1 _emit 0xE8 jmp label1 sub1: add dword ptr[esp],1 retn label1: } 嘛,偷个懒直接看源码了 花指令全部去掉的话剩的就是 阅读全文
posted @ 2021-02-03 18:18 Mz1 阅读(367) 评论(1) 推荐(0)
摘要: win32console devc编译 debugmode 肥肠简单 逻辑清晰 白给的位运算前16位: 然后下面有个栈溢出: 嘛白给的溢出 找到下一个函数地址跳过去就行了,然后是白给的base64: exp都没怎么写 直接拼了一下: import base64 flag = '' y1 = [35, 阅读全文
posted @ 2021-02-02 23:26 Mz1 阅读(511) 评论(0) 推荐(0)
摘要: winx64的pe文件 估计是devc编译的,debugmode 主要逻辑非常简单 base以后两个位变换 直接丢exp了: from base64 import b64encode, b64decode aim = "EmBmP5Pmn7QcPU4gLYKv5QcMmB3PWHcP5YkPq3=c 阅读全文
posted @ 2021-02-01 23:42 Mz1 阅读(401) 评论(0) 推荐(0)
摘要: 原理: docker中flask正常打开5000端口 然后物理机使用apache2开反向代理打127.0.0.1:5000 配置虚拟主机,ok 主要步骤: 配apache2 参考:https://www.jianshu.com/p/47eca94680aa a2enmod proxy proxy_b 阅读全文
posted @ 2021-01-19 22:10 Mz1 阅读(232) 评论(0) 推荐(0)
摘要: 这题就是一坨shi 用3.6以上的版本去反编译,linux环境下。 # uncompyle6 version 3.7.4 # Python bytecode 3.6 (3379) # Decompiled from: Python 3.8.4 (default, Jul 13 2020, 21:16 阅读全文
posted @ 2021-01-09 23:04 Mz1 阅读(252) 评论(0) 推荐(0)
摘要: 参考赵总的文章:https://www.zhaoj.in/read-6497.html 非常详细了 over. 阅读全文
posted @ 2021-01-09 20:12 Mz1 阅读(123) 评论(0) 推荐(0)
摘要: 套娃 最终exp: PUT /hurdles/!?get=flag&%26%3d%26%3d%26=%2500%0a HTTP/1.1 Host: node3.buuoj.cn:26310 Upgrade-Insecure-Requests: 1 User-Agent: 1337 browser v 阅读全文
posted @ 2021-01-02 17:15 Mz1 阅读(135) 评论(0) 推荐(0)
摘要: 明显的ssti 过滤单引号,点,下划线 直接丢exp了 读源码 {{()["\x5f\x5fclass\x5f\x5f"]["\x5f\x5fmro\x5f\x5f"][1]["\x5f\x5fsubclasses\x5f\x5f"]()[127]["\x5f\x5finit\x5f\x5f"][" 阅读全文
posted @ 2021-01-01 21:03 Mz1 阅读(615) 评论(0) 推荐(0)
摘要: 参考 https://www.52pojie.cn/thread-980141-1-1.html 是一个AES CBC的加密 1 from Crypto.Cipher import AES 2 import base64 3 4 5 def AESencrypt(data, key): 6 aes1 阅读全文
posted @ 2020-12-31 12:10 Mz1 阅读(229) 评论(0) 推荐(0)
摘要: 这是一个稍长的pop链构造 构造出ssrf打127.0.0.1 利用soap类 脚本如下: 1 <?php 2 3 4 //第一步 反序列化HelloWorld_DB 5 class HelloWorld_DB{ 6 private $coincidence; 7 function __constr 阅读全文
posted @ 2020-12-31 11:40 Mz1 阅读(374) 评论(0) 推荐(0)