摘要: 【Reserve】 【re-elf】 【babyLogin】 v10和v11差一个字节,在内存中。所以 v11[0-1] 就是v10的地址 最后结果是求v1,所以逆向算法就是(byte_40925C[i*2] ^ byte_409034[dword_40924C[i % 4]] ^ 0x68) - 阅读全文
posted @ 2018-09-15 14:46 刘轶轩 阅读(226) 评论(0) 编辑
摘要: 链接:https://pan.baidu.com/s/1n7Mx2D1FKJPnn8_E8ecIeg 密码:96yn 【RE1】 查壳 卧槽 竟然有壳! 脱壳.. 可以使用aspackdie 之后对脱壳后的程序ida分析 那么就是对 aHboiufkKgocs 数组的每个字符 ^0XE就是flag 阅读全文
posted @ 2018-08-10 16:16 刘轶轩 阅读(45) 评论(0) 编辑
摘要: 在32位程序运行中,函数参数直接压入栈中 调用函数时栈的结构为:调用函数地址->函数的返回地址->参数n->参数n-1->···->参数1 在64位程序运行中,参数传递需要寄存器 64位参数传递约定:前六个参数按顺序存储在寄存器rdi, rsi, rdx, rcx, r8, r9中 参数超过六个时,阅读全文
posted @ 2018-07-31 21:56 刘轶轩 阅读(146) 评论(0) 编辑
摘要: 除了NX。。估计还是栈溢出 发现还是一样的read函数。 继续分析 于是只需要让他返回到good_game()的地址就可以了阅读全文
posted @ 2018-07-30 16:48 刘轶轩 阅读(84) 评论(0) 编辑
摘要: 都没开。。。 ida分析 发现返回了buf的地址 并没有自带system 或者/bin/sh 所以估计是自己写shellcode 偷个图。。。阅读全文
posted @ 2018-07-30 16:01 刘轶轩 阅读(122) 评论(0) 编辑
摘要: 老套路 checksec ida查看 覆盖掉 之后system地址再返回覆盖 最后/bin/sh地址阅读全文
posted @ 2018-07-29 17:09 刘轶轩 阅读(58) 评论(0) 编辑
摘要: 首先在linux下 checksec 估计栈溢出 64位ida观看 有/bin/sh再查看vulnerable_function函数,read可以读入0x200,即512个字符,而从buf到vulnerable_function的返回地址只有0x80+0x8,即136个字节 < 512,因此可以覆盖阅读全文
posted @ 2018-07-29 16:37 刘轶轩 阅读(286) 评论(0) 编辑
摘要: 打开发现是上传题,查看源代码,发现include($_GET['file']); 伪协议可以拿到index.php的源码 一句话木马 中国蚁剑连接! 在html目录下发现一个ctf.sql文件,但是是空的。于是想到flag可能在数据库中 在html目录传入大马,失败了没有权限。突然想起来upload阅读全文
posted @ 2018-07-13 22:10 刘轶轩 阅读(272) 评论(0) 编辑
摘要: <?php error_reporting(0);session_start();require('./flag.php');if(!isset($_SESSION['nums'])){ $_SESSION['nums'] = 0; $_SESSION['time'] = time(); $_SES阅读全文
posted @ 2018-06-23 16:36 刘轶轩 阅读(118) 评论(0) 编辑
摘要: <?phpinclude "flag.php";$a = @$_REQUEST['hello'];eval( "var_dump($a);");show_source(__FILE__); 文件包含 我们可以考虑让他输出flag.php 构造 hello=file_get_contents('fla阅读全文
posted @ 2018-06-23 16:24 刘轶轩 阅读(39) 评论(0) 编辑