附件下载下来有三个东西。 点开exe，发现是鸡哥 判断应该是.net程序(.NET是一个免费的跨平台开源开发人员平台，用于生成许多不同类型的应用程序。凭借.NET，可以使用多种语言、编辑器和库来生成Web、移动应用、桌面应用、游戏和IoT应用),可以用dnspy打开，那个exe和json打开后都没发现什么，接着打开dll文件 点进去Main函数看看 这里有对Resources.data的数据进行加密，下一步我们将data文件dump下来 将dump的文件按照上面的加密异或104，我们看看异或后是什么文件，或是什么数据 这里用python进行处理： f=open("data",'r...

第1关直接ssh连接，获得密码NH2SXQwcBdpmTEzi3bvBHMM9H66vVXjL，用这个密码连接第2关 第2关，连接之后查看 存在特殊字符的文件 因为使用 - 作为参数是指 STDIN/STDOUT 即 dev/stdin 或 dev/stdout 。所以如果你想打开这种类型的文件，你必须指定文件的完整位置，例如作为 ./- 。例如。，如果您想查看该文件中的内容，请使用 cat./ 获得密码：rRGizSaX8Mk1RTb1CNQoXTcYZWU6lgzi，使用该密码...

首先先来了解一下setuid漏洞： SUID(SetUID)是Linux中的一种特殊权限,其功能为用户运行某个程序时，如果该程序有SUID权限，那么程序运行为进程时，进程的属主不是发起者，而是程序文件所属的属主。但是SUID权限的设置只针对二进制可执行文件,对于非可执行文件设置SUID没有任何意义,在执行过程中，调用者会暂时获得该文件的所有者权限,且该权限只在程序执行的过程中有效.通俗的来讲,假设我们现在有一个可执行文件XINO,其属主为root,当我们通过非root用户登录时,如果XINO设置了SUID权限,我们可在非root用户下运行该二进制可执行文件,在执行文件时,该进程的权限将为r...

首先查看一下附件的保护情况 可以看到，got表是可修改的状态 接着看主函数的逻辑 非常典型的菜单题，接着分析每一个函数的作用 unsigned__int64create_heap() { inti;//[rsp+4h][rbp-1Ch] size_tsize;//[rsp+8h][rbp-18h] charbuf[8];//[rsp+10h][rbp-10h]BYREF unsigned__int64v4;//[rsp+18h][rbp-8h] v4=__readfsqword(0x28u); for(i=0;i<=9;i) { if(!(&heaparray+i)) {...

首先使用ssh连上主机：sshctf@node5.anna.nssctf.cn-p28844  接着再输入ls-al查看文件 尝试打开文件，发现权限不够，根据题目的提示打开shadow文件 在以前的Linux系统中，用户名、所在的用户组、密码（单向加密）等信息都存储在、/etc/shadow的 文件中，很多软件通过调用这个文件来获取用户名和用户组，例如ls命令通过用户ID来找到/etc/passwd文件中的用户名。这意味着，所有用户都要拥有/etc/passwd的读权限，否则这些用户将不能执行ls等命令。但是这个文件保存了用户的密码，这将会导致安全风险。现在，加密后的密码 /et...

拿到程序，先查一下保护状态 没开pie，接着看主函数代码逻辑 看到这里，因为程序开了canary，本程序没有可以泄露canary的方法，所以普通的栈溢出方法肯定打不了，这里可以考虑一下smashstack Stacksmash         在程序加了canary保护之后，如果我们读取的buffer覆盖了对应的值时，程序就会报错，而一般来说我们并不会关心报错信息。而stacksmash技巧则就是利用打印这一信息的程序来得到我们想要的内容。这是因为在程序启动canary保护之后，如果发现canary被修改的话，...

附件下载下来是一个mp3文件，我这里是先试了一下MP3Stego对mp3进行空密码解密 发现得到了一个txt，貌似像一个key 然后kali中foremost一下mp3，发现得到一张png图片，然后再zsteg查看这张图片 ‘ 发现有zip文件，提取出来试一下 然后用一开始得到的key可以解密这个加密的压缩包，得到一段加密的txt 然后根据该txt文件名提示的47，可以考虑rot47进行解密，解密结果如下 看起来像一段js代码，试一下运行 JS在线运行工具，Javascript代码在线运行(sojson.com) 运行结果就是flag

附件下载时vmdk文件 首先尝试了vm虚拟机挂载，但是失败了，后面了解到winhex也可以挂载vmdk文件，这里我是使用DG进行磁盘分析 挂载后，根据这个路径\DocumentsandSettings\Administrator\桌面\10个t的学习资料查找，可以看到有五张图片 导出五张图片，binwalk看一下，在第五张图片中分离得到压缩包 打开这个flag.png 接着对这个flag.png进行binwalk分离的话还可以得到一个加密的压缩包 这里有个提示，戴围脖的软件，初步判断是qq，然后没找到qq，但是有个firefox文件夹 判断应该是要找有关qq的历史记录，记录存在于...

附件下载下来有三个东西。 点开exe，发现是鸡哥 判断应该是.net程序(.NET是一个免费的跨平台开源开发人员平台，用于生成许多不同类型的应用程序。凭借.NET，可以使用多种语言、编辑器和库来生成Web、移动应用、桌面应用、游戏和IoT应用),可以用dnspy打开，那个exe和json打开后都没发现什么，接着打开dll文件 点进去Main函数看看 这里有对Resources.data的数据进行加密，下一步我们将data文件dump下来 将dump的文件按照上面的加密异或104，我们看看异或后是什么文件，或是什么数据 这里用python进行处理： f=open("data",'r...

打开附件的流量包 可以发现有很多的tcp协议数据，追踪tcp协议数据看看 可以发现tcp数据流中有很多类似坐标的东西，先把这些数据另存为txt保存，如何用正则表达式提取这些数据，提取脚本如下： importre withopen("data.txt","r",encoding="utf-8")asf:     data=f.read() pattern=r'tgPos\{\d+\}\.Value\.\[\d+,\d+,\d+\]'   正则表达式匹配 results=re.findall(patt...

查看程序保护 发现开了pie： partialwrite(部分写入)就是一种利用PIE技术缺陷的bypass技术。由于内存的页载入机制，PIE的随机化只能影响到单个内存页。通常来说，一个内存页大小为0x1000，这就意味着不管地址怎么变，某条指令的后12位，3个十六进制数的地址是始终不变的。因此通过覆盖EIP的后8或16位(按字节写入，每字节8位)就可以快速爆破或者直接劫持EIP 简单来说就是后12位是不会被随机化的，接着看代码逻辑 发现有个后门的函数 可以getshell，但是问题是怎么溢出到这里，vuln函数的buf偏移是0x100，加上8个字节的覆盖rbp，那这个read函数只有2...

拿到程序，我们先查一下有没有加壳，发现没有加壳，并且是64位程序，拖进ida分析其代码逻辑 int__cdeclmain(intargc,constcharargv,constcharenvp){ voidv3;//rcx __int64v4;//r8 size_tv5;//r10 voidv6;//rax voidv7;//r8 voidv8;//rax voidv9;//r8 voidv10;//rax voidv11;//r8 voidv12;//rdx intv13;//ea...

拿到程序先查一下保护状态 可以发现保护全开，再看一下程序的逻辑 可以发现，这里有一个fork函数： C语言中的fork()函数用于创建一个新的进程，该进程是原始进程（父进程）的一个副本。这个副本将从fork()函数之后的代码行开始执行，父进程和子进程在此处分别继续执行不同的代码。fork()函数的返回值有以下三种可能情况：如果返回-1，表示创建新进程失败。 如果返回0，表示当前进程是子进程。 如果返回一个正整数，表示当前进程是父进程，返回的整数是子进程的进程ID。 就算说fork函数会开启一个子进程，然后根据while，可以发现这个程序会不断开启子进程，我们再点进去su...

先查看程序的保护状态 可以看到，保护全开，拖进ida看主函数的逻辑 可以看到有个mmap函数： mmap()函数是Unix和类Unix操作系统中的一个系统调用，用于在进程的地址空间中映射文件或者其它对象。这样做的好处是可以让文件直接映射到内存中，从而避免了频繁的文件I/O操作，提高了文件的读取效率。 mmap()函数的一般形式如下： c 复制代码 voidmmap(voidaddr,size_tlength,intprot,intflags,intfd,off_toffset); 参数说明： addr：指定映射区的开始地址，通常设置为0，表示由系统自动分配。 ...

附件下载下来，解压，发现是一个python打包的exe 这里用pyinstxtractor进行反编译，后面会得到一个文件夹，里面有一个pyc文件 这里可以用进行网站进行对pyc进行反编译：在线Pythonpyc文件编译与反编译(lddgo.net) 反编译的python结果如下： Visithttps://www.lddgo.net/string/pyc-compile-decompileformoreinformationVersion:Python3.7 defcheck():  a=input('plzinputyourflag:')  c=[...

查看附件 可以看到，这次过滤挺多重要的字符，比如\,'等字符，还过滤的字母i和b，这道题可通过python模板注入：(ssti注入) 下面是渐变过程().__class__.__base__.__subclasses__() getattr(().__class__,'__base__').__subclasses__() getattr(().__class__,chr(95)+chr(95)+chr(98)+chr(97)+chr(115)+chr(101)+chr(95)+chr(95)).__subclasses__() getattr(getattr(().__class__,ch...

这是一道python沙盒逃逸的题目： 沙箱逃逸：就是在给我们的一个代码执行环境下，脱离种种过滤和限制,最终成功拿到shell权限的过程，其实就是闯过重重黑名单，最终拿到系统命令执行权限的过程，这里不理解没关系，多做两道题就知道了，老实说国内的沙箱逃逸的题不是很多，而且大多都是面向新手的？对我来说正好就是了，然后的话，如果像深入了解的话还是建议去做做国外的沙箱逃逸，国外出得比较多 这里先补充一些关于沙箱逃逸的知识点 花式import 首先，禁用 importos 肯定是不行的，因为 importos importos importos ... 都可以。如果多个空格也过滤了，...

首先checksec 没开nx，说明堆栈可执行，初步考虑需要shellcode，然后拖进ida看主函数逻辑 看chall函数  printf("Yippie,letscrash:%p\n",s)这里泄露的s的地址，即栈上的地址 这里的输入的s数组是不存在栈溢出的，这里的关键代码是这一段  result=(void)strcmp(s,"crashme"); if(!result)  returnvuln((char)s,0x400u); returnresult;} strcmp(s,"crashme")说明字符串只能是crash...

这是ctfshow上面的一道题 这边v1和v2定义时都是int，有符号整数，想让v1-v2=9，可以考虑负数，但是这个函数过滤了负号  if(strchr(s,45))  return0LL; 可以考虑输入比较大的数有符号溢出成负数， 输入4294967295的话，就会解析成-1，然后8-（-1）9就可以 看第2个函数： 首先int可表示的范围为02147483647  -2147483648-1 思路是输入超过四字节能表示的最大数，就是直接溢出，这个就是四字节能表示的最大数4294967295，对于有符号而言就是-1，再加大数字，就会溢...

先贴上爬取的脚本： importrequests importre foriinrange(1,11):   num=(i-1)25   url=f"https://movie.douban.com/top250?start={num}&filter="   head={"User-Agent":"Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/119.0.0.0Safari/537.36"}...