PHP Wrappers and Phar notes

PHP Wrappers Remote file:// http:// ftp:// data:// RFI include($_GET[‘module’]); SSRF file_get_contents($_GET[‘url’]); XXE <! ENTITY xxe SYSTEM “http://example.com”> ...

Basic FMT

Something before https://www.xmsec.cc/format-string-leak-binary-blind-pwn/ 在之前学到了格式化串盲打二进制,但是例题中并不能进一步利用。在某次比赛中遇到了FMT的典型利用,趁机补习了下并做了记录。 FMT 利用的逻辑很简单,根据之前的知识点,获取到printf函数的got表地址,然后把这个地址的值改为system函数的地址,在下次循环的时候,输入/bin/sh,则printf(a);实际执行的却是system('/bin/sh') ...

网鼎杯 Web Review

To begin with 网鼎杯初赛出了两道Web题,虽然还是有点坑..但在赛后总结中还是学到了新内容,良心平台比赛结束后仍然可以开启web服务。若有机会接触到后面几场比赛的赛后环境,同时一并总结。 Fakebook 感觉这个题的思路还是很明确的,就是这个过滤很皮.. 收集信息可以找到一个user.php源码泄露 <?php class UserInfo { public $name = ""; public $age = 0; public ...

Format String to leak binary with blind pwn

Format String link here https://ctf-wiki.github.io/ctf-wiki/pwn/fmtstr/fmtstr_intro/ d/i,有符号整数 u,无符号整数 x/X,16进制unsigned int 。x使用小写字母;X使用大写字母。如果指定了精度,则输出的数字不足时在左侧补0。 ...

从SSTI到沙箱逃逸-jinja2

Intro 国赛遇到了沙箱逃逸和简单的SSTI,算是python sec的起步吧,最开始在看bendawang和bit2woo的python sec,开始了解了一点点基础,在QCTF又遇到了SSTI,以及网鼎杯和TWCTF。记录一下查到的内容,主要是Web App的判断以及sandbox filter bypass。 关于SSTI,这里给两篇文章: http://www.freebuf.com/articles/web/136118.html http://www. ...

栈溢出ROP入门&QCTF

To begin with 最近试着学一些二进制的内容,查了很多资料,还是选择从ctf-wiki开始。 https://ctf-wiki.github.io/ctf-wiki/pwn/stackoverflow/stack_intro/ Note 栈布局: High Addr ... Argument n ... Argument 1 Ret Addr E( ...

逆向修改内核,绕过TracerPID反调试

前言 上次DDCTF结束后,和BinCrack师傅交流,他提到用了自己编译的安卓内核,直接修改源码更改了TracerPID,之后在国赛也遇到了对status的检测,虽然可以修改内存绕过(ref 4),但是还是想试一试把内核patch掉。查阅了很多资料后,大概有三种方法: 1.修改源码,重新编译内核 (ref 2) 2.逆向修改内核文件,patch二进制文件 3.hook fopen 函数,检测/proc/ ...

国赛 ciscn 2018 Web Misc partial writeup

前言 会在近几天不断更新,。 (这次比赛对Web dog真的很不友好了...虽然不是第一次了,转行吧doge) Web web1 打开后是一个登录和注册,尝试在注册时注入,发现登陆后 ' " \ 已经被转义,尝试其他方法无果。 观察到cookie是ey开头,解base64得到jwt格式的cookie。 eyJ0eXAiOiJKV1QiLCJhbGciOiJzaGEyNTYiLCJraWQiOiIyMjIifQ.eyJuYW1lIjoidGVzdCJ9.fwrm3jDKVF8TWvKTyaZym5Hy1lPfM-0Q5zugF568HGI 查了资料alg是hash算法,标准的应该是HMAC,而这里用的sha256,于是坑在了这里... 尝试构造cookie一直无法成功,最后使用admin空密码登录拿到admin的cookie, ...

DDCTF 2018 Web/Misc/Android partial writeup

Web 数据库的秘密 打开后限制的访问IP,我们使用XFF插件设置下再进入。 进去后是一个查询界面 结合题目,大概是个注入题,先测试waf吧。 发现id过滤很严格,title反而松一些,加了转义符,date也是,阅读源码发现一个隐藏字段author,看起来似乎没有过滤。 使用1' or 1=1#,页面正常显示,那就选择author了,应该是后端没有设置过滤。 我们尝试order by,查到列数,于是尝试union注入,但是突然跳出了狗. ...

0CTF 2018 Web partial Writeup

0x00 0ctf题目真的很强,萌新表示只能赛后复现writeup了。做完了misc两个签到题就跪了。正文还没有整理完毕,目前Ezdoor和Login的writeup思路已经写在了正文中,部分扩展和引用内容均已标注。 EzDoor 看起来很友好的一题,直接给了源码。 <?php error_reporting(0); $dir = 'sandbox/' . sha1($_SERVER['REMOTE_ADDR']) . '/'; if(!file_ ...