we1come to carl's home

we1come to carl's home

a worm in cosmos

hackme.inndy.tw rsbo
Idea一道32位的rop,老规矩,先看看保护和逻辑确定一下思路。 1234567carlstar@ubuntu:~/Desktop$ checksec rsbo [*] '/home/carlstar/Desktop/rsbo' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) main函数 1234567891011121314151617181920212...
hackme.inndy.tw onepunch
思路1234567checksec onepunch [*] '/Users/carlstar/Desktop/onepunch' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 程序的逻辑 123456789101112131415161...
hackme.tw raas
写在前面之前想把所有一个类型的题目都放在一篇文章里,这样找起来方便也很系统。可是文章多了以后加载速度是有点捉急,之前把图片都压缩过,降低清晰度来换取速度,但也架不住量大。所以后面的还是单独拿出来吧,这样最起码是1080p的。终于要开始堆的学习了,大赛用到堆的知识比例很大,不会的话只能看神仙打架喊666了,哈哈~ 思路老样子,先看看有什么保护。题目给出的提示是uaf,那就在结合逻辑看看。 1234567carlstar@ubuntu:~/Desktop$ checksec raas [*] '/home/carlstar/Desktop/raas' Arch: i386-32...
hackme.inndy.tw xss系列
这3道题目很不错,学到了一波新知识,记录一下过程和思路。 xssme题目描述:XSS admin to steal flag 于是很自然想到了打admin的cookie用这个cookie登陆看看有没有什么新的发现。注册后登陆,发现可以收发邮件,并且知道收件人是否读了邮件。那很有可能xss存在邮件的内容中。随便先盲打一波,发现过滤了 script 、oneeror 、img 、iframe 、() 等。一波下来这个标签可以使用:<body/onload=””> 先测试一下是否可以xss,构造如下payload发送给admin,如果存在xss,那么会有一个get请求发送到你的vp...
hackme.inndy.tw pwn
catflag直接nc过去就是shell homework题目提示是数组越界,之前没有接触过这一方面的知识,所以就借这道题目学习一下,认真的做个笔记~ 前置知识我们声明一个数组int a[10],他在内存中是这样子的。 定义了大小为10的int型数组,如果函数没有检查下标,是不是可以访问内存中其它的值呢?我写一个简单的程序去验证一下~ 1234567891011121314#include <stdio.h>int main(void){ int i,a[10]; int index; for(i=0;i<=9;i++) a[...
redis拿shell
say something最近正好有个redis的实例,记录一下。这里说两种利用方法,如果环境中支持脚本语言的话可以写shell,不支持的话可以写入 ssh key,拿到ssh登陆服务器。 什么是redisREmote DIctionary Server(Redis) 是一个由Salvatore Sanfilippo写的key-value存储系统。 Redis是一个开源的使用ANSI C语言编写、遵守BSD协议、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。 它通常被称为数据结构服务器,因为值(value)可以是 字符串(String), 哈希...
网鼎杯 guess easyFMT
碎碎念最近真的好忙,网鼎杯这场2道pwn拖了很久才更新,这周五放弃刀塔的时间 来激发一下学习的热情。总共做了两道easyFMT和GUESS。GUESS这道题不错,get到了canary新的玩法,同时也学到了Stack Smashing Protector(ssp)的一些知识。 GUESS先看下开了什么保护,确定一下思路。64位程式有canary,nx,got表可写。 看看程式的逻辑,有一处明显的溢出,但是有canary貌似没办法利用。在程式中我们可以输入3次,结合ssp思路就很明显了。 idea 1、泄漏puts的真实地址计算出libc_base 2、泄漏environ指针泄漏程式的...
dedecms任意密码重置分析
引子这个洞存在于DeDecms V5.7SP2正式版,问题代码在member/resetpassword.php中,如果注册会员没有设置安全问题,会把 $safequestion变量和$safeanswer变量初始化为‘’,在接下来的if中又使用了php弱判断,从而导致可以绕过,导致任意账号密码重置。还有就是在程序设计的执行逻辑上不严谨,为什么这么说呢,文末会给出分析。 分析首先来看代码,当dopost为safequestion时,会从post提交的$id的值对应member表中的mid查询安全问题,安全问题答案,用户编号,邮箱。当用户没有设置安全问题和答案,那么默认情况下安全问题的值为...
ssrf xor trojan in ctf
I got these interesting problems from my qq group, I know something about ssrf but never using it in practice. The other is telling you how to make php trojan without A-Za-z0-9. problem 1url http://oj.momomoxiaoxi.com:9090/ ideaAs you see, the index.php do function that exec curl, it’s easy to g...
CTFbugku 部分逆向
Say something由于之前博客搭建在国外的服务器上,然后这个服务器还运行的一些众所周知的服务,然后就挂掉了。之后刚换了ip,博客重新上线,一天后又挂掉了。。来来回回折腾了好几遍所以就决定把博客这块单独分出来放在国内,目前还在备案中。这几天换换口味,先更一部分逆向,会持续更新。 Easy_vb直接脱入ida,然后就看到flag了。 flag{_N3t_Rev_1s_E4ay_} Easy_Re直接在终端就可以拿下。 1strings re1.exe| grep 'DUTCTF' DUTCTF{We1c0met0DUTCTF} 游戏过关打开后是一个游戏,规则是...
avatar
carlstar
万物奇妙 万事出乎意料
FRIENDS
sayhi l1nk3r