栈溢出笔记
有一段时间没写博客了,下午跟着巨佬学了点简单的栈溢出,拿其中两个例子做下笔记 ( x64 在虚拟机里用socat把程序挂起来 socat tcp-l:8233,fork exec:./challenge 查找偏移的网址:https://libc.blukat.me/ 也可以使用跃哥的 https://github.com/lieanu/LibcSearcher ( 用着有点卡 Orz 0x01 第一个例子,漏洞点当然也很明显 int vulfunc() { char v1; // [rsp+.....

护网杯2018 easy_laravel出题记录
easy_laravel 在登录等页面查看源码,可以得到 <!-- https://github.com/qqqqqqvq/easy_laravel --> 得到代码,开始审计 (很多人都说我代码没给全,拿到代码之后就算不了解laravel,看到composer.json也知道应该 composer install 一下呀) 首先看一下路由,看看有什么操作 Route::get('/', function () { return view('welcome'); }); Aut.....

CASW CTF 2018 WTF.SQL writeup
打开连接后可以看到是一个注册页面,而且注册后没有登录操作,直接就会变成已登录状态且跳转到个人页面 扫到robots.txt文件,内容信息量很大 User-agent: * Disallow: / # procedure:index_handler Disallow: /admin # procedure:admin_handler Disallow: /login # procedure:login_handler Disallow: /post # procedure:post_handler.....

noxCTF 2018 几个misc的writeup
web做不动了,转去misc看一看,说是misc,其实感觉很多web放里面了,比如这两个python。 Ps:这个比赛的 Forensics 太可怕了,直到第一天快结束,题板都是这个样子的 大部分0解,一两个1解 Orz python for fun 这个其实没什么好说的,浏览一遍整个站会发现,在 match_signature_to_body 这个功能有用户交互,测试一下会发现这个地方可以任意注入命令,而且没什么过滤,就很简单了 直接 a,b=(print(open('/usr/src/ap.....

网鼎杯第三场 mmmmy writeup
只给了一个登录,任意用户名和密码都可以登录, admin 账号会提示 nononono 任意账号登录后发现有个留言系统,点击后提示只有 admin 用户才可以进行留言 ( 这里一开始还以为是XSS Orz 思考怎么拿到admin这个账号的登录权限,因为没有注册,登录处也没有可攻击的地方,后来查看cookie的时候发现有个 token 的键值,又是 JWT,但是这个和 i_am_admin 不一样的是没有地方可以得到 secret,于是尝试爆破,得到secret为6a423 然后伪造身份成为ad.....

拟态防御赛easy_upload出题思路与writeup
一些题外话 Bendawang师傅帮忙测试交流后,把单引号和like也加进blacklist了,不然用户名截断注入那儿都用不上了 比赛开始后因为docker里nginx的配置没写好,导致DCUA队的师傅把Host改成localhost后可以直接下php的源码 Orz 因为疏忽,比较的地方 strlen($name) > 20 写成了 strlen($name > 20)。 因为测试的时候全都用的数字,所以根本没注意到这个地方,多亏了小陆师傅提醒,不然就凉凉了 ( 后来看LC↯BC的数.....

ddctf 2018 - 喝杯Java冷静下 writeup
R师傅在群里发DDCTF比赛地址的时候已经结束了 Orz,但是赛题仍然可以看,放假找时间看了看 PS: 粥师傅搞了点奇怪得东西 首页是个登录,没看到什么东西,看源码的时候发现 LOGIN FORM 里面有个注释 <!-- YWRtaW46IGFkbWluX3Bhc3N3b3JkXzIzMzNfY2FpY2Fpa2Fu --> 解开base64是: admin: admin_password_2333_caicaikan 用这个账号密码可以直接登录进去,只有四个查看详情,全是.....

懒人OA 注入 && getshell
0x01 注入(好几处) Ps:感觉这种问题出现的情况非常多啊,内部本来有写过滤,但就是在某些地方不用 在用户中心的地方,因为代码基本上都相同,所以拿一处来说就好了 manage/Common/Mail_List.aspx页面,会根据querystring传入的值来判断是收件箱/草稿箱还是xx箱 if (!base.IsPostBack) { if (!string.IsNullOrEmpty(base.Request.QueryString["fid"]) &.....

两种破解迅捷pdf转换器的方法
这两天发现这个软件更新了,那么再来看一看,其实没什么太大更新,验证方法之类的也没改 0x01:实现keygen 这个版本很蠢,把实现注册的代码全都放到一个类库中去了,就是根目录下的 bllBase.dll,我们来看看其中的reg类里面有什么惊喜 这些方法名熟悉吗,不熟悉的话,来看看哪个地方用到了 这是注册窗口,注册按钮点击的事件 so,实现keygen的方法就是直接引用这个dll就好了 0x02 简单粗暴改全局 在0x01中知道了,这个软件在这个版本中,把注册相关的方法都放到了bllBas.....

KesionImallCMS v4.0一处sql注入漏洞
之前发在补天上的。搬过来 用户登录页面在 user/userlogin.aspx,看看点击登录按钮后的处理 protected void Button1_Click(object sender, EventArgs e) { string text = this.UserName.Text; string text2 = this.PassWord.Text; Utils.MD5(text2, 16); int int_ = 0; if (this.Cookies.....