摘要:
环境准备 安装mumu模拟器 pip安装frida,这里到最后一步setup需要很长时间。 在frida github下载对应服务端。 apk下载:https://adworld.xctf.org.cn/media/task/attachments/2554cf208cfb4cdf9218a840f 阅读全文
摘要:
less-32 过滤了单引号,双引号,斜杠,同时设置数据库为GBK编码,可以考虑宽字节注入, 当设置gbk编码后,遇到连续两个字节,都符合gbk取值范围,会自动解析为一个汉字。用脚本来测试下哪些符合 import requests url1 = "http://127.0.0.1:81/Less-3 阅读全文
摘要:
less-28 less-28a 二者相差不大 单引号小括号包裹,黑名单过滤--,#,空格,union空格select(不区分大小写) less-28的黑名单 less-28a的黑名单 %a0,不被正则的\s匹配到,可以用%a0题替换空格绕过, 阅读全文
摘要:
less23 本关过滤掉了注释符号-- 和#,并且变量带入数据库时被单引号包裹。需要将后边的单引号闭合。使用and '1'='1,将其加在注入语句的末尾,使用suffix参数 less-24 以后填坑 less-25 参数经过blacklist处理 blacklist内容:使用/i模式,表示不区分大 阅读全文
摘要:
less19 当账号密码正确时,会将当前的refer和ip存入数据库。对这两个值同时没有进行过滤。考虑使用sqlmap对这两个参数进行注入 less-20 当cookie uname存在时,并且不是post方式时,$cookee带入数据库查询。所以构造的包要求为get,并且存在cookie参数 le 阅读全文
摘要:
less-11 uname和passwd直接带入查询,万能密码 sqlmap自动搜索表单,或者抓包后用-r参数 less-12 post数据用小括号进行包裹,构造万能密码") or 1=1 # less-13 将mysql_error()返回前端,且用‘)包裹,构造') or 1=1 # less- 阅读全文
摘要:
less-1 参数被单引号包裹,加单引号,闭合后绕过 less-2 参数没有被包裹,直接带入查询,不需要闭合 less-3 参数被 ('$id') 包裹,需要将他闭合 less-4 参数被小括号和双引号包裹,先对id进行处理,两边加上双引号,再带入查询,需要将其闭合 less-5 查询结果将mysq 阅读全文
摘要:
crackme常见的形式是输入注册码,序列号。对常用破解方法进行总计 破解思路 1、密码相邻性,在输入假码后,在内存窗口段跟踪假码,通常在假码上下左右,临近位置发现真码。 2、利用消息断点,如mfc编写的程序,在点击按钮之后获得程序断点WM_LBUTTONUP。 3、利用提示信息,进行字符串查找。 阅读全文
摘要:
感谢xctf提供学习平台 https://adworld.xctf.org.cn crackme有壳,脱壳部分见文章: https://www.cnblogs.com/hongren/p/12633232.html 查看字符串: 跟踪来到right,推测为成功时的标志。 来到这里,往上翻能看到核心代 阅读全文
摘要:
首先进行查壳,NsPack 将程序拖入x64dbg 程序入口处标志性的push F8单步,发现仅有esp寄存器有变化 在esp上右键,在内存窗口查看,下硬件断点 F9运行程序,程序断在pop之后。 使用F7单步两次后来到程序入口,oep 使用自带的scylla脱壳 填入正确的OEP,自动查找IAT并 阅读全文