- 博客(30)
- 收藏
- 关注
RSS订阅
原创 pwn做题环境搭建
pwn做题环境搭建系统 Ubuntu16.04 x64安装pip2wget https://files.pythonhosted.org/packages/11/b6/abcb525026a4be042b486df43905d6893fb04f05aac21c32c638e939e447/pip-9.0.1.tar.gztar -zxvf pip-9.0.1.tar.gzcd pip-9.0.1python setup.py install #我这里只装了python2如果上一步安装时提
2020-05-08 20:11:11
1254
1
原创 Winheap 利用的一个例子
原文链接winhttpd writeup: private heaps pwning on WindowsThis challenge is running on Windows Server 2019, Version 1809 (OS Build 17763.253).此次调试在win10上进行10.0.19042.1083
2021-07-24 11:10:31
327
原创 BMZ公开赛PWN题
pwn1exp#coding=utf-8from pwn import *context.log_level="info"binary="./pwn1"elf=ELF(binary)#sh=process(binary)sh=remote("47.242.59.61",10000)vuln=0x80486AEmemset_got=elf.got['memset']sh.recvuntil("e to BMZCTF \n")payload=fmtstr_payload(10,{mem
2020-12-28 20:46:07
1348
4
原创 从DDCTF2020-拼图题,学习如何做拼图题
题目下载链接:https://pan.baidu.com/s/1BBQw9mOxnrmPm4o68lEpEQ提取码:i7hm拿到题目,给了一张图片demo.jpg和一个压缩包,压缩包里为6400个小图片,这6400个小图片是将demo.jpg切割得来的,而flag就在其中几块小图片上。如何找到这几张图片并把它们拼在一起得到flag。我这里是利用python的CV2库的图像匹配算法,由于修改原图,将flag写入到图片上会造成小图片与原图上相应位置的图片匹配度降低,当匹配度低于某个阈值时,可认为是将.
2020-09-07 23:13:37
1568
2
原创 JAVA反序列化漏洞学习
拖了很久,迟早是要学的配置Mavenwindows下安装配置Maven下载地址:https://archive.apache.org/dist/maven/maven-3/参考链接里,作者说不建议下载太高版本,经笔者测试,3.6.3 idea报错,解决方案就是降版本。我用的eclipse没问题。解压后,在conf目录找到settings.xml,修改local repo以及换镜像 <mirror> <id>alimaven</id>
2020-08-31 21:12:24
315
原创 __fini_array劫持
3×17-x64静态编译程序的fini_array劫持参考pwnable.tw新手向write up(二) 3×17-x64静态编译程序的fini_array劫持pwnable.tw 3x171 劫持fini_array,循环写劫持fini_array[1]为main函数地址,fini_array[0]为__libc_csu_fini,将长度为18的任意地址写升级为长度无限制的任意地址写2 栈迁移,构造ROP chain在0x4b40f0+0x10地址处构造ROP chainROP ch
2020-08-30 10:27:09
1070
原创 使用python 从pem文件中提取模数N和加密指数e
python2.17Crypto包安装Crypto下载 Crypto 的安装包http://www.voidspace.org.uk/python/modules.shtml#pycrypto直接点击安装即可,安装完后发现import Crypto失败,查看位于C:\python27-x64\Lib\site-packages中包的名字为crypto,将其改成Crypto即可>>> from Crypto.PublicKey import RSA>>>
2020-08-30 10:18:16
1256
1
原创 强网杯2020线上赛部分wp
WEBFunhash参考https://medium.com/@sbasu7241/hsctf-6-ctf-writeups-a807f0b25ae4exphash1=0e251288019&hash2[]=1&hash3[]=2&hash4=ffifdyopWeb辅助这题是学弟做出来的@Sn0w331.php反序列化时,S会把binary string当做字符2.__wakeup()当属性个数大于实际属性个数时会跳过__wakeup()3.字符串逃逸五个字符\
2020-08-30 09:59:31
850
原创 小爬虫,爬取shellcode
shellcode网站 http://shell-storm.org/shellcode/使用在线网站http://tools.bugscaner.com/sitemapspider 生成site map使用下面的代码写到markdown里面去#coding=utf-8import requestsfrom bs4 import BeautifulSoup import reimport htmlhaatml=r"C:\Users\Administrator.WQ-20160501NYY
2020-07-05 22:41:37
837
原创 Windows exploit初探-通过修改seh get shell
原文地址:https://www.fuzzysecurity.com/tutorials/expDev/3.html发现看雪有翻译的:https://bbs.pediy.com/user-686289-2.htm有漏洞的软件链接:https://pan.baidu.com/s/1XIVgoo7t2kCwbd1wZLJ7Zw提取码:khmh在xp虚拟机里安装上面下载的安装包,然后用下面的脚本创建一个文件,绕后用安装好的软件来打开这个文件,造成缓冲区溢出,覆盖seh链filename="evil
2020-07-02 10:46:37
945
原创 ubuntu16.04 安装media-wiki
media wiki搭建环境要求我这里使用的是ubuntu16.04+Mysql5.7.27+apache2+php7.0.33这里下载1.31.3版本的压缩包到机器上https://releases.wikimedia.org/mediawiki/1.31/mediawiki-1.31.3.tar.gz创建media wiki 要用到的数据库创建数据库wikidbcreate DATABASE wikidb;在wikidb创建用户wikiuser并设置密码:create user 'w
2020-07-01 21:15:26
863
原创 一些CTF 做题的tricks
一些CTF 做题的tricks,东拼西凑放到这里,方便查找任意文件读取路径汇总任意文件读取漏洞和文件包含漏洞的表现相似,但是任意文件读取不能getshell,可以通过尝试读取相对路径的脚本文件,比如/read.php?file=index.php,如果可以读取到文件源码,说明是文件读取,如果不能读取到文件源码说明是文件包含。下面收集的是一些常用的利用路径,应该够用了,以后也会及时更新,放在这便于以后的查阅和参考:需要高权限读取的:用户信息文件/etc/passwd # 用来
2020-07-01 20:31:21
2504
2
原创 RPO学习
来源https://www.freebuf.com/articles/web/166731.htmlhttp://blog.nsfocus.net/rpo-attack/0X1 什么是RPORPO(Relative Path Overwrite)相对路径覆盖,是一种新型攻击技术,主要是利用浏览器的一些特性和部分服务端的配置差异导致的漏洞,通过一些技巧,我们可以通过相对路径来引入其他的资源文件,以至于达成我们想要的目的就目前来看此攻击方法依赖于浏览器和网络服务器的反应,基于服务器的Web缓存技
2020-07-01 20:22:50
635
原创 萌新学pwn-roarctf_2019_easy_pwn
roarctf_2019_easy_pwn安全检查可以劫持malloc_hookida查看main__int64 __fastcall main(__int64 a1, char **a2, char **a3){ int choice; // [rsp+4h] [rbp-Ch] __int64 savedregs; // [rsp+10h] [rbp+0h] setvbuf_3(); while ( 1 ) { menue(); choice = rea
2020-06-28 10:32:27
544
原创 arm pwn 初探
学习网站azeria-labs,这个网站里蛮多arm教程,有基础的arm汇编,还有arm exploit,还有如何使用ubuntu 构建树莓派虚拟机。如何搭建arm pwn环境和下面要讲的如何利用arm pwn参考这篇文章ARM64 调试环境搭建及 ROP 实战题目地址 pwn环境搭建可以使用 apt 安装 arm 的动态库,然后用 qemu 运行,也可以安装一个树莓派虚拟机,做题直接参考先知的那篇文章,最简单安装树莓派虚拟机直接下载现成的azeria-labs提供了装有树莓派虚拟机的ubu
2020-06-27 17:25:33
473
原创 第五空间ctf2020pwn-twice
checsecidamain函数int __cdecl main(int argc, const char **argv, const char **envp){ for ( nCount = InitData(); (unsigned int)sub_4007A9(nCount); ++nCount ) ; return 0;}sub_4007A9函数// a1=ncount__int64 __fastcall sub_4007A9(int a1){ unsign
2020-06-25 08:21:08
611
原创 house of orange学习
安全检查IDA查看mainvoid __fastcall __noreturn main(__int64 a1, char **a2, char **a3){ signed int chocie; // eax init_n(); while ( 1 ) { while ( 1 ) { menue(); chocie = read_buf(); if ( chocie != 2 ) break; sh
2020-06-07 15:41:55
221
原创 shellcode学习-1
做pwn题难免要写shellcode,一般大多是用网上找的和用pwntools生成的,每次到比赛的时候显得慌忙脚乱的,现在系统的学习一下获取集成好的使用pwntools先设置目标机的参数context(os=’linux’, arch=’amd64’’)os设置系统为linux系统,在完成ctf题目的时候,大多数pwn题目的系统都是linuxarch设置架构为amd64,可以简单的认为设置为64位的模式,对应的32位模式是’i386’如使用asm(shellcraft.sh())命令,可以
2020-05-26 22:58:55
371
原创 fbctf搭建记录
因为课程需要,老师让我们搭建一个CTF平台,供同学们上机演练,最终选择了Facebook的fbctf,期间也遇到了一些问题,趁现在自己还记得,就把搭建fbctf的过程和遇到的问题记录下来,方便以后再回来看看。安装fbctf的github地址我采用的是Quick Setup GuideDirect InstallationFrom the system you wish to install the platform, execute the following:git clone https
2020-05-23 16:18:03
1839
11
原创 萌新学pwn之SROP
这篇文章主要是讲解对ctf-wiki上面的SROP的例子的理解,题目是360ctf的一个题目代码很简单.text:00000000004000B0 public start.text:00000000004000B0 start proc near ; DATA XREF: LOAD:0000000000400018↑o.text:00000000004000B0 xor rax,
2020-05-22 00:21:11
835
原创 萌新详解[ZJCTF 2019]EasyHeap,带你走进pwn世界
安全保护IDA查看mainint __cdecl __noreturn main(int argc, const char **argv, const char **envp){ int v3; // eax char buf; // [rsp+0h] [rbp-10h] unsigned __int64 v5; // [rsp+8h] [rbp-8h] v5 = __readfsqword(0x28u); setvbuf(stdout, 0LL, 2, 0LL); se
2020-05-21 09:07:07
1744
3
原创 萌新详细调试[V&N2020 公开赛]simpleHeap,带你走进堆利用
查看保护无法修改gotIDA查看mainvoid __fastcall main(__int64 a1, char **a2, char **a3){ const char *v3; // rdi __int64 savedregs; // [rsp+10h] [rbp+0h] init_mem(); puts("Welcome to V&N challange!"); v3 = "This's a simple heap for you."; puts("Th
2020-05-20 19:28:04
772
1
原创 BUU pwn 刷题
这里基本都是栈溢出题,没什么技术含量,只作为记录[第五空间2019 决赛]PWN5查看保护开启了canary和栈不可执行保护IDA反编译得到main函数int __cdecl main(int a1){ unsigned int v1; // eax int fd; // ST14_4 int result; // eax char nptr; // [esp+4h] [ebp-80h] char buf; // [esp+14h] [ebp-70h] unsigned
2020-05-19 20:17:06
1445
原创 以babyheap_0ctf_2017学习fasbin attack
题目链接参考,他这有很些表述问题,读起来有点费脑子做题环境使用ubuntu16.04操作系统,libc版本为2.23检查安全保护保护基本全开,RelRO=Full,也就是无法修改got表项IDA反编译note结构体使用IDA根据程序自定义了结构体00000000 note struc ; (sizeof=0x18, mappedto_6)00000000 flag dq ? //标志位,为1表示该note在使用00000008 size
2020-05-19 08:36:01
279
原创 详细解析ret2_dl_runtime_resolve
先放几个学习的链接CTF-wiki高级ROP ret2dl_runtime 之通杀详解聊聊动态链接和dl_runtime_resolveELF的学习参考程序员的自我修养看了上面的以及一些没有放出来的仍然没有很好地理解这个攻击技巧延迟绑定这里直接贴程序员的自我修养书上的内容,延迟绑定看这就够了。延迟绑定实现动态链接相关结构.dynamic段ELF里专门用于动态链接的段还有几个,首先是.dynamic段。这个段里保存了动态链接器所需的基本信息,比如依赖于哪些共享对象,动态链
2020-05-11 22:13:01
912
原创 bugku 里面的五个pwn题wp
pwn1没给二进制文件,直接nc过去就能拿shell,查看flag,flag{6979d853add353c9}pwn2查看保护,发现什么保护都没开启ida反编译查看明显栈溢出,还注意到有后门函数只需要劫持函数的返回地址到get_shell函数,就可以用拿到flag。使用gdb调试发现,在0x38个字符后就会覆盖返回地址,所以编写脚本拿flag。exp#pwn2.pyfrom pwn import *#sh=process('./pwn2')sh=remote('11
2020-05-08 20:39:15
2067
原创 从HITCON Trainging lab13 学习Chunk Extend and Overlapping 攻击
查看保护措施,RelRO为Partial,即可以修改GOT表项[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-znarZnkX-1588937420199)(F:\wangpei\笔记\pwn\note\assets\1588837137968.png)]这个题目,定义了一种heap结构体,大概如下struct heap{ size; #heap的大小;8字节 content; #指针,指向content;8字节}下面是main函数,定义了菜单选
2020-05-08 19:59:09
237
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人