~Rewrite~

摘要： 主要是关于接受地址后处理的小细节 e9_addr = int((p.recvuntil('\n')[:-1]),16) 应该是将字符串转成16进制的形式 后面才能p32() exp: from pwn import * elf = ELF('./pwn') p = remote('82.157.14 阅读全文

摘要： [极客大挑战 2019]EasySQL 万能密码绕过登陆 注意 usename 和 password都要用万能密码 [极客大挑战 2019]Havefun ctrl+u 发现source.php 审计后传入 cat=dog 即可 [HCTF 2018]WarmUp 发现source.php: 点击查 阅读全文

摘要： 考点：原型链污染 首先burpsuite抓包发现传的是这种形式: {"attributes":{"health":a,"attack":b,"armor":c}} 开始想着说不定存在一组(a,b,c)满足 跑了一下发现也不行 这里要用到javascript的原型链污染 简单理解就是 proto 可以 阅读全文

摘要： 主要是第一个 指的就是 HTTP请求的方式(默认为GET POST等这些) 然后就按部就班的修改 X-Forwarded-For referer user-agent 即可 阅读全文

摘要： 反序列化pop链学习 题目直接给了源码: <?php error_reporting(0); class User{ public $username; public $password; public $variable; public $a; public function __construc 阅读全文

摘要： 还是一道ret2libc的题目 注意做题时积累32位和64位的不同处 这里由于用的是write泄露 所以write要传3个参数 记住：32位函数调用后要先将返回地址入栈 然后再依次压参数 第一次payload: payload = 'A'*(0x88+4) payload += p32(write_ 阅读全文

摘要： 按照提示打开两个php 注意 这里 伪协议最后的resource=不能加.php后缀 <?php error_reporting(0); @$file = $_GET["file"]; if(isset($file)) { if (preg_match('/http|data|ftp|input|% 阅读全文

摘要： 虽说说是Union注入 但是我怎么注入都显示 server error 这题可以用强大的SQLMap 新功能 用 --level --risk 提升SQLMap检测能力 对于本题: python3 sqlmap.py --u ... --level 5 --risk 3 --dump 直接全部打印出 阅读全文

摘要： checksec 开启了NX和Canary 32位 IDA打开 查看main 关键代码 这里的dword_804C044是一个系统产生的随机数 若我们输入的passwd与这个随机数相等就可以执行/bin/sh 解题思路就是想办法绕过这个随机数 或者覆写它 由于开启了Canary所以无法栈溢出 这题考 阅读全文

摘要： 下载附件 IDA打开后发现 main直接调用了 system("/bin/sh") 所以我们直接nc监听端口即可得到后门权限 nc ... .. ls cat flag 阅读全文