从SSTI到沙箱逃逸-jinja2

Intro 国赛遇到了沙箱逃逸和简单的 SSTI,算是 python sec 的起步吧,最开始在看 bendawang 和 bit2woo 的 python sec,开始了解了一点点基础,在 QCTF 又遇到了 SSTI,以及网鼎杯和 ...

栈溢出ROP入门&QCTF

To begin with 最近试着学一些二进制的内容,查了很多资料,还是选择从ctf-wiki开始。 https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/stack-intro/ Note 栈布局: High Addr ... Argument ...

逆向修改内核,绕过TracerPID反调试

前言 上次DDCTF结束后,和BinCrack师傅交流,他提到用了自己编译的安卓内核,直接修改源码更改了TracerPID,之后在国赛也遇到了对status的检测,虽然可以修改内存绕过(ref 4),但是还是想试一试把内核patch掉。查阅了很多资料后,大概有三种方法: 1.修改源码,重新编译内核 (ref 2) 2.逆向修改内核文件,patch二进制文件 ...

国赛 ciscn 2018 Web Misc partial writeup

前言 会在近几天不断更新,。 (这次比赛对Web dog真的很不友好了...虽然不是第一次了,转行吧doge) Web web1 打开后是一个登录和注册,尝试在注册时注入,发现登陆后 ' " \ 已经被转义,尝试其他方法无果。 观察到cookie是ey开头,解base64得到jwt格式的cookie。 eyJ0eXAiOiJKV1QiLCJhbGciOiJzaGEyNTYiLCJraWQiOiIyMjIifQ.eyJuYW1lIjoidGVzdCJ9.fwrm3jDKVF8TWvKTyaZym5Hy1lPfM-0Q5zugF568HGI ...

DDCTF 2018 Web/Misc/Android partial writeup

Web 数据库的秘密 打开后限制的访问IP,我们使用XFF插件设置下再进入。 进去后是一个查询界面 结合题目,大概是个注入题,先测试waf吧。 发现id过滤很严格,title反而松一些,加了转义符,date也是,阅读源码发现一个隐藏字段author,看起来似乎没有过滤。 使用1' or 1=1#,页面正常显示,那就选择author了, ...

0CTF 2018 Web partial Writeup

0x00 0ctf题目真的很强,萌新表示只能赛后复现writeup了。做完了misc两个签到题就跪了。正文还没有整理完毕,目前Ezdoor和Login的writeup思路已经写在了正文中,部分扩展和引用内容均已标注。 EzDoor 看起来很友好的一题,直接给了源码。 <?php error_reporting(0); $dir = 'sandbox/' . sha1($_SERVER[ ...

nginx与php-fpm不同服务器部署爬坑笔记

0x00 起因 起初是因为某ctf搭建php 7.0.28环境复现opcache getshell的(以及nodejs和mongo复合环境),然而菜到不得不逼自己翻了一些docker的手册和教程,对搭建过程做一个记录,所以这篇很水,大佬不必再看。 0x01 镜像 php官方的镜像分为三种,cli、fpm和apache,为了更改php.ini来满足条件,选择了fpm, ...

关于同源策略的理解与跨源

简介 同源策略是Web安全中一项用以保护Web文档信息的手段,原来一直以为自己对其有所了解,然而在BackdoorCTF中遇到的内容让我查阅了一些资料,做此总结。 以下内容如有错误请指正。 同源 如果两个页面的协议,端口(如果有指定)和域名都相同,则两个页面具有相同的源。 下表给出了相对http://store.company.com/dir/page.html同源检测的示例: 源的继承 ...