Time 12.1-2 Rank 2 Pwn OverInt 看一下题目逻辑，如果前面通过判断，最后能有任意次数对栈的修改，可以改return address 之后ROP。看一下如何通过判断，发现需要输入的4位字符符合一定的条件并且在加法中发生一次溢出。于是爆破4位输入，得到一个可以最终进入任意修改栈的输入即可。然后ROP泄露libc，再返回main开头，再次出发漏洞 ROP 执行system 代

Whitzard · 18773浏览 · 2018-12-03 01:11

2018鹏城杯 初赛 Writeup By Lilac 招一位web安全人员交流玩耍, 有意联系 echo -n N2ZlaWxlZUBnbWFpbC5jb20= | base64 -d PWN note add note的功能存在溢出可以覆盖索引数组的下标为负数，可以hijack got表，这里选了close@got，NX关了可以在堆上执行shellcode，用jmp指令连接起来就行 fro

Lilac · 12442浏览 · 2018-12-03 01:10

ezdotso 题目给了一个源码和一个so文件 源码如下（稍微加了一点输出） <? $param = array(); parse_str($_SERVER['QUERY_STRING']); if (isset($action)){ switch($action){ case "php_info": echo call_user_func_array

yxxx · 7565浏览 · 2018-12-04 16:01

大家好，我们 r3kapig 的小伙伴在这周玩了 BCTF 2018. 以下是我们的解题 Writeup ，请各位大佬指教。 BCTF 2018 online Writeup Web SEAFARING1 login处有个XSS，不过需要验证码，然后扫了一下站，发现robots.txt，里面有一个/admin/handle_message.php，进去提示： {"result":"","error

M1n3 · 11819浏览 · 2018-11-29 23:50

感谢blue-lotus的大师傅们带来的精彩的比赛！ [TOC] Web checkin 注意到是1.7.2的beego框架，版本较低。 有文件上传且知道上传目录 参考https://www.leavesongs.com/PENETRATION/gitea-remote-command-execution.html 伪造session，poc: package main import (

f1sh · 11001浏览 · 2018-11-29 23:49

BCTF 2018 By Nu1L [TOC] 比赛网址：https://bctf.xctf.org.cn/ 比赛时间：11月27日 14:00 - 11月29日 02:00 Team-Page：http://nu1l-ctf.com PWN easiest Double Free，测了一下远程，不是tcache 没有Leak 有一个后门函数 用GOT表里面的0x40做size from pwn

veneno · 11453浏览 · 2018-11-29 23:48

Xnuca - hardphp writeup 题目被大佬非预期的注入成功了，膜大佬，tql ..逃 。。。。 非预期解也挺有意思的，详情可以去看https://xz.aliyun.com/t/3428,我这里只说一下预期解法吧。 题目的docker环境已经上传到https://github.com/wonderkun/CTF_web/blob/master/web400-12/README.

wonderkun · 8214浏览 · 2018-11-28 06:32

2018 安洵杯 官方Writeup - D0g3 源码以及环境复现文档请去github项目获取 WEB X-Z 题目背景 大佬找到我，说出个接近实战的题，想来想去，把最近项目里边经常遇到的github源码泄露和一次绕waf的方式放到了题目中。 考点 nodejs代码审计,一点点docker，信息收集 解题思路 浏览网站发现存在文件上传，尝试上传，发现为黑名单验证，上传成功后会返回文件名，当文件名

Passer6y · 17315浏览 · 2018-11-27 23:46

前言： 哎。。本菜鸡看见了这个原题还惊喜了一下，可惜搜到的writeup都是些不是预期思路解，好，既然搜不到它，那我就要分析它。一分析，这getshell的思路也太特么的骚了吧。。现在一起来看看它是怎么个骚法。 正文： int __cdecl main(int argc, const char **argv, const char **envp) { _isoc99_scanf((unsig

V1NKe · 6495浏览 · 2018-11-28 06:31

此题是X-NUCA'2018的一道题目，在比赛过程中没有队伍解出。赛后在得到AFang师傅的提示后复现成功。题目及附件下载 题目及漏洞分析 题目中初始化过程中首先从'secret.txt'中读入一个字符串，存放在申请的堆中。 int get_secret() { int v0; // eax int v1; // ebx bss_malloc_secret = malloc(0x78

p4nda · 8668浏览 · 2018-12-01 00:16

XNUCA 2018 预赛 ROIS Writeup WEB ezdotso 生活总是充满惊喜的。永远相信，美好的事情即将发生。 ——尤其是当主办方环境配置错误的情况下，从没有人会想到，&action=cmd&cmd=cat%20/flag是如此美妙。 Blog you can login in the blog services by your username or aut

zsx · 10799浏览 · 2018-11-26 01:50

2018 XNUCA初赛题解 --By Lilac pwn Steak 堆漏洞挺多的: uaf,idx未检验 没有输出比较麻烦 先泄露libc地址: 1. free 一个chunk进unsorted bin * partial write fd 做fastbin atk 连上unsortedbin（1/16）后来改善用copy功能省去这16/1的概率 2.

Lilac · 8982浏览 · 2018-11-26 01:49

前言 最近比赛Pwn的libc版本越来越多2.26以上的了，也就相当于多了不少tcache相关的题目，于是最近恶补了一波tcache机制相关的东西，并记录下tcache相关题目的调试 tcache简介 tcache（thread local ）是glibc在2.26版本新出现的一种内存管理机制，它优化了分配效率却也降低了安全性，一些漏洞的利用条件变得容易了许多 首先我们先看下tcache新引入的两

断竹残赋 · 7291浏览 · 2018-11-27 23:45

CSAW 2018 部分web Writeup CSAW的题目质量相当不错，有一定的难度，有一段时间没有打过CTF了，实力退步的很明显,现在题目环境还没关，继续水一水啦(滑稽.jpg） 如果有对题目了解不深刻的地方，欢迎各位大师傅指出，感激不尽。 Ldab dab http://web.chal.csaw.io:8080 默认进来题目有一个搜索框，感觉是和数据库差不多的,打开界面显示如下信息。

落花四月 · 10795浏览 · 2018-11-25 00:08

此次的SUCTF招新赛的PWN题一共有七题，难度算是逐步上升吧，写个稍微详细一点的WP，希望能给刚刚入门的萌新PWNer一点帮助 题目的名字被我统一改成了supwn1-7，对应这下面的七题，我也放到百度云上了： 链接：https://pan.baidu.com/s/1rnsyHCQzziS53AZZ-NTHzA 提取码：1ha2 stack 这是一道基础的栈溢出的题目，通过checksec可以看到

23R3F · 10241浏览 · 2018-11-24 00:02