- 博客(56)
- 收藏
- 关注
RSS订阅原创 [NSSCTF]-Reverse:[SWPUCTF 2021 新生赛]老鼠走迷宫解析(python反编译,迷宫,最优路径算法)
结果是sssssddssddssaaaassssddwwddddssssssaawwaassssddssaassddddwwddssddwwwwwwwwaawwddwwwwaaaawwddwwwwddssssddwwwwddddwwddddssaassaassddddssddssaassssssddsssssss。在010中打开,将struct中e3前面的数据全部插入到5的开头,注意不要覆盖原有数据。改后缀名,还是分析不出什么,用die查看,发现是py打包。将5放入python反编译网站反编译。
2024-07-03 12:11:47
336
原创 [NSSCTF]-Reverse:[SWPUCTF 2021 新生赛]easyapp(安卓逆向,异或)
这里调用了MainActivity的lambda$onCreate$0$MainActivity,然后又调用了Encoder进行异或。这里要注意key的值在动态中被修改为987654321。把后缀名改为zip,找到apk。
2024-06-29 17:45:23
640
原创 [XYCTF新生赛]-PWN:EZ1.0?(mips,mips的shellcode利用)
查看保护查看ida这里用的是retdec,没安装的可以看这个这里直接看反汇编貌似看不出什么,所以直接从汇编找。
2024-06-28 18:24:40
483
原创 [CTF]-PWN:mips反汇编工具,ida插件retdec的安装
IDA是没有办法直接按F5来反汇编mips的汇编的,而较为复杂的函数直接看汇编不太现实,所以只能借用插件来反汇编。选择刚刚下载的retdec文件夹中的retdec-decompiler.py,另一个直接填py就行。先配置环境,下载python3.4以上的版本,并将其加入到环境变量中。下载好之后解压,并把这两个dll放入ida的plugins中。然后按快捷键就可以反汇编mips了。
2024-06-28 17:11:55
1336
1
原创 [蓝桥杯2024]-PWN:ezheap解析(堆glibc2.31,glibc2.31下的double free)
查看保护查看ida大致就是只能创建0x60大小的堆块,并且uaf只能利用一次。
2024-05-03 16:44:55
1102
原创 [蓝桥杯2024]-Reverse:rc4解析(对称密码rc4)
无壳查看ida这里应该运行就可以得flag,但是这个程序不能直接点击运行按照伪代码写exp。
2024-04-27 19:46:30
814
原创 [蓝桥杯2024]-PWN:fd解析(命令符转义,标准输出重定向,利用system(‘$0‘)获取shell权限)
查看保护查看ida这里有一次栈溢出,并且题目给了我们system函数。这里的知识点没有那么复杂。
2024-04-27 17:57:02
880
1
原创 [NSSCTF]-Reverse:[GFCTF 2021]wordy解析(花指令,idapython填充机器码)
上来一看就没有main函数,直接看汇编就发现ida有部分机器码解析错误。\xeb相当于jmp 8位立即数据,\xff为Table4 reg16。这里一个一个输入有点麻烦,我直接用python脚本输出了。flag是GFCTF{u_are2wordy}这里是利用\xeb\xff来干扰ida分析的。可以用以下代码来nop掉。
2024-04-25 23:16:54
530
原创 [NSSCTF]-Reverse:[HUBUCTF 2022 新生赛]simple_RE(base64换表)
无壳查看ida可以看得出是base64,而且是换表的。
2024-04-24 22:40:28
298
原创 [XYCTF新生赛]-Web:warm up(md5绕过,preg_replace()任意命令执行)
这里解释一下extract($_GET);,如果我们通过get方式传输已有值的变量,那就会覆盖原有变量。
2024-04-05 22:47:24
123
原创 [NKCTF2024]-PWN:Maimai查分器解析(orw,用openat代替open)
查看保护查看ida根据官方的wp的意思解法应该像这样。
2024-03-25 18:44:15
841
原创 [VCTF2024纳新赛]-PWN:ezhp_code解析
查看保护查看ida简单来说就是创建堆块和删除堆块而已,创建堆块的函数附带有写入函数。但这里要注意一个程序里面的特殊的地方在我们创建堆块时,程序会先创建一个0xa0大小堆块,并且这个地方还有个特殊的check_handle函数,如果在这个堆块地址+40的地方如果有函数地址,就会跳转执行。并且创建堆块使用的时malloc,释放堆块也并没有清空堆块内容,所以我们可以加以利用。
2024-03-17 20:53:32
399
原创 [BUUCTF]-PWN:wustctf2020_number_game解析(补码,整数漏洞)
查看保护查看ida大致意思就是输入一个数绕过if。
2024-03-02 20:27:03
326
原创 [攻防世界]-Web:fileinclude解析(文件包含,添加后缀)
查看网页查看源代码意思就是,如果变量lan被设置就会触发文件包含。但是要注意,这里的文件包含会自动加上后缀,所以payload要注意一点。
2024-03-02 01:53:49
396
原创 [BUUCTF]-PWN:oneshot_tjctf_2016解析(字符串输入,onegadget)
查看保护查看ida这道题的大致思路就是泄露libc地址,然后用onegadget来getshell但是要注意,这里要我们输入的数据类型是long int,所以不能用我们常用的p64函数了。
2024-03-02 01:10:37
335
原创 [BUUCTF]-Reverse:reverse3解析
查看ida从下图的/3和*4可以推断得出来是base64加密。ida里大致意思就是我们输入的字符串经过base64加密,循环递减,最后等于str2,那我们输入的字符串就是flag。
2024-03-01 20:34:32
594
原创 [VNCTF2024]-PWN:preinit解析(逆向花指令,绕过strcmp,函数修改,机器码)
这边其实看反汇编没啥大作用,需要自己动调。但是前面的绕过strcmp还是要看一下的。
2024-02-29 19:17:05
2838
2
原创 [NSSCTF]-Web:[SWPUCTF 2021 新生赛]ez_unserialize解析(反序列化修改属性)
查看网页这里可以查看robots.txt题目文件如下。
2024-02-28 13:44:34
646
原创 [VNCTF2024]-Web:CheckIn解析
在调试器里面我们可以看见,如果游戏通关的话,它会进行一系列操作,包括使用console.log(_0x3d9d[0]);输出_0x3d9d[0]到控制台,那我们就直接在点击在控制台求出它的值。一款很经典的游戏,而且是用js写的。
2024-02-25 18:08:46
448
原创 [BUUCTF]-PWN:axb_2019_heap解析(格式化字符串漏洞,unlink,off by one)
查看保护查看ida大致就是alloc创建堆块,free释放堆块,以及fill填充堆块。
2024-02-20 00:57:52
594
原创 [BUUCTF]-PWN:ciscn_2019_es_1解析(tcachebin duf)
查看保护再查看ida大致为alloc创建堆块,free释放堆块,show输出堆块内容但是要注意一点free没有清空堆块指针。
2024-02-17 03:03:28
399
原创 [CTF]-PWN:C++文件更换libc方法(WSL)
C++文件与C文件更换libc有很多不一样的地方,我是在写buu的ciscn_2019_final_3才意识到这个问题,C文件只需要更换libc和ld就可以了,但是C++文件不同,除了更换libc和ld,它还需要更换libstdc++.so.6和libgcc_s.so.1更换libc和ld的方法我在里讲了,这里就不重复讲了。主要是把更换libstdc++和libgcc的方法讲一下。如果是用虚拟机的话也可以根据wsl的方法改一下路径,也是可以按照这个方法改的。
2024-02-16 00:10:11
2828
原创 [BUUCTF]-PWN:ciscn_2019_final_3解析(tcache dup)
查看保护RELRO保护为FULL,got表不可修改,只能修改hook表了查看ida这里的大致功能为alloc创建堆块(可填充内容)、free释放堆块(但是不清空指针)值得注意的就是创建堆块大小不可以超过0x78(实际大小会对齐)
2024-02-15 20:42:52
531
原创 [NSSCTF]-Web:[SWPUCTF 2021 新生赛]easy_sql解析
注意,这里需要把wllm设置为不为1的数(就是让他查不到数据就行,因为wllm=1查得到数据),不然它只会输出wllm=1查询到的数据。得到数据库名称就可以按顺序数据库-表-列来找flag了。有提示,参数是wllm,并且要我们输入点东西。从上图看应该是字符型漏洞,单引号字符注入。所以,我们尝试以get方式传入。报错了,说明字段数是3。有回显,但似乎没啥用。
2024-02-10 17:53:39
1103
1
原创 [BUUCTF]-PWN:wustctf2020_easyfast解析(fastbin double free)
又是堆题,查看保护再看ida大致就是alloc创建堆块,free释放堆块,fill填充堆块,以及一个getshell的函数,但要满足条件。值得注意的是free函数没有清空堆块指针所以可以用double free有两种解法。
2024-02-06 21:27:21
466
1
原创 [BUUCTF]-PWN:actf_2019_babystack解析
先看保护再看ida原本我以为会是整数溢出,但是实际上不是。这道题考到了栈迁移,并且还给了我们栈的地址,并且正好是栈顶。
2024-02-05 01:31:33
541
1
原创 [BUUCTF]-PWN:mrctf2020_easy_equation解析
查看保护再看ida很明了,题目就是让我们用格式化字符串漏洞修改judge的值(可以用python脚本进行计算,最终算出来得2)使等式成立,然后getshell。虽然操作比较简单,但我还是列出了几种方法。
2024-02-03 18:33:03
519
原创 [BUUCTF]-PWN:roarctf_2019_easy_pwn解析
先看保护64位,got表不可写看ida大致就是alloc创建堆块,fill填充堆块,free释放堆块,show输出堆块内容这里要注意的点有以下alloc创建堆块:这里采用的是calloc而不是malloc,calloc在创建堆块时会初始化也就是清空相应的内存空间,而malloc不会,这里使用calloc创建堆块fill填充堆块:这里它限制了填充的字节大小不得超过堆块大小,但如果填充大小正好大于堆块10字节的话,就可以多溢出一个字节,存在off by one漏洞。
2024-02-03 02:09:42
2378
原创 [BUUCTF]-Web:[GXYCTF2019]Ping Ping Ping解析(贪婪匹配,空格过滤)
先看网页按照正常流程,先ip+ls,可以看到flag但是不能直接得flag,他应该是过滤掉了一点东西。这里考虑过滤掉了空格。
2024-01-31 12:08:52
1598
原创 [BUUCTF]-PWN:ciscn_2019_es_7解析(系统调用execve,srop)
这道题好像和buu的ciscn_2019_s_3是一模一样的看保护64位,没开canary和pie看ida题目还有能往rax传递0x3B和0xf的函数,这就提示我们可以用系统调用来getshell。
2024-01-30 19:53:40
549
1
原创 [BUUCTF]-PWN:pwnable_hacknote解析
先看保护32位,没开pie,got表可修改看ida总的来说就是alloc创建堆块,free释放堆块,show打印堆块内容但alloc处的函数比较特别,他会先申请一个0x8大小的堆来存放与puts相关的指针。
2024-01-29 02:22:19
429
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人