2019-10-30 护网杯2018-easy_tornado 护网杯2018的一道tornado模板注入题目 12345678/flag.txtflag in /fllllllllllllag/welcome.txtrender/hints.txtmd5(cookie_secret+md5(filename)) 给出了以上信息,并且url格式是file?filename=/hints.txt&file... 続きを読む…
2019-10-29 学习笔记 buuoj-pwn-rip 题目信息 64位elf,简单输入,保护基本没开 静态分析IDA,明显的溢出,并且直接有一个fun函数来getshell,那就控制rip跳到fun就可以 ... 続きを読む…
2019-10-25 学习笔记 CTF学到的两个SQL知识点 主要是两道CTF题目的考点,BUUOJ上有 [强网杯 2019]随便注 首先是常规堆叠注入,这个没什么讲的 表名是一串数字,数字串为表名的表操作时要加反引号 主要利用的就是存储过程: 1?inject=1';SeT@a=0x73656c656374202a2066726f6d20603139313938313039333131313435313460;prepar... 続きを読む…
2019-09-24 学习笔记 Pwn学习笔记24:其他一些技术 ucontextsetjmp/longjmp的最终演变 setjmp()/longjmp() sigsetjmp()/siglongjmp() getcontext()/makecontext()/setcontext()/swapcontext() 1. setjmp()/longjmp() 通过setjmp()设置一个保存点,可以通过longjmp()返回到那里 实现了函数间的got... 続きを読む…
2019-09-05 学习笔记 PlaidCTF 2015 - pwnable620(420+200) – tp - stage2 Stage2 sandbox bypass Stage1已经实现了任意代码执行 接下来就是sandbox部分 目标是读取/home/tp/flag2 解析 - 整体构成 ... 続きを読む…
2019-08-22 学习笔记 PlaidCTF 2015 - pwnable620(420+200) – tp - stage1 题目信息https://github.com/ctfs/write-ups-2015/blob/master/plaidctf-2015/pwnable/tp/problem_414d338fffb41107a3cf70bd0a7feffe.elf?raw=true 测试运行直接运行什么也不会显示,大概10秒后killed ... 続きを読む…
2019-08-14 学习笔记 thread clone clone 能够生成线程的system call 适用于sandbox,出现频率非常高 clone(2)和clone(3)有区别,这里使用clone(3)进行说明 https://linuxjm.osdn.jp/html/LDP_man-pages/man2/clone.2.html ... 続きを読む…
2019-08-08 学习笔记 seccomp seccomp sandbox的典型 内核层面过滤system call 只要过滤器正确注册,就无法从用户进程绕过 这个sandbox非常强,还会结合其他的过滤器作为辅助,以防止意外的解决方案 尽量使用复杂的过滤器 也存在一部分过滤器存在漏洞的题目 只过滤自己的进程,不会影响其他进程 使用seccomp(2) 或者 prctl(2)来注册过滤器 这是一种通过库函数调用的方式,稍微有点... 続きを読む…
2019-08-01 学习笔记 CTF中的sandbox sandbox问题分类大体上两类 1.binary的sandbox 绕过system call过滤机制 自定义过滤器,seccomp过滤器,混合过滤器等 基本上结合pwn问题 2.program的sandbox 绕过对函数,变量,语法,字符等的过滤机制 不能使用符号,import之类语句等 python/php很常见,其他的go/JavaScript/ruby之类 大部分是mi... 続きを読む…
2019-07-18 学习笔记 Pwn学习笔记23:heap与malloc(-1) PlaidCTF 2015 - pwnable620(420+200) - tp Use After Free + sandbox逃逸 主要三个点 heap thread arena sandbox seccomp thread clone ... 続きを読む…