LitCTF2025_nc
nc
复盘/命令过滤/getshell指令
把附件拖进ida发现得出了我看不懂的一坨玩意
在re手的指导下,直接用vscode打开得到了一段python代码,如下
1 | #!/bin/python3 |
直接给到了system执行,但是过滤了一系列命令
我第一思路是变量替换,输入如下
1 | a=s;b=h;$a$b |
后来又发现直接输入$0也可getshell
复现平台关了,剩下题目以后再说
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 r3t2's blog!
相关推荐
2025-05-02
WHUCTF2025
repeater_handout复盘/ret2libc题目源码 1234567891011121314151617181920212223242526272829__int64 __fastcall main(int a1, char **a2, char **a3){ int v4; // [rsp+Ch] [rbp-24h] BYREF char buf[24]; // [rsp+10h] [rbp-20h] BYREF unsigned __int64 v6; // [rsp+28h] [rbp-8h] v6 = __readfsqword(0x28u); setvbuf(stdin, 0LL, 2, 0LL); setvbuf(stdout, 0LL, 2, 0LL); setvbuf(stderr, 0LL, 2, 0LL); puts( "When Siesta was chatting with Rin-chan, he was so engrossed that he couldn't hear...
2025-05-02
XYCTF2025
Ret2libc’s Revenge复现/ret2libc/全缓冲源码如下 12345678910111213141516171819202122232425262728293031323334353637int __fastcall main(int argc, const char **argv, const char **envp){ init(argc, argv, envp); puts("Ret2libc's Revenge"); revenge(); return 0;}__int64 init(){ setvbuf(stdin, 0LL, 2, 0LL); setvbuf(stdout, 0LL, 0, 0LL); setvbuf(stderr, 0LL, 0, 0LL); return 0LL;}__int64 revenge(){ int v0; // eax char v2[528]; // [rsp+0h] [rbp-220h] ...
2025-07-01
关于fastbin attack与unsortedbin leak(以及uaf和heap overflow)
0x00以三道循序渐进的题目为例来分析吧。 0x01 hitcontraining_uaf / hacknote复盘/uaf/heapoverflow题目源码如下 123456789101112131415161718192021222324252627282930313233343536373839404142int __cdecl __noreturn main(int argc, const char **argv, const char **envp){ int v3; // eax char buf[4]; // [esp+0h] [ebp-Ch] BYREF int *p_argc; // [esp+4h] [ebp-8h] p_argc = &argc; setvbuf(stdout, 0, 2, 0); setvbuf(stdin, 0, 2, 0); while ( 1 ) { while ( 1 ) { menu(); read(0, buf,...
2025-05-02
TGCTF2025
签到ret2libc简单的ret2libc,源码如下 123456789101112131415int __fastcall main(int argc, const char **argv, const char **envp){ char v4[112]; // [rsp+0h] [rbp-70h] BYREF setbuf(stdin, 0LL); setbuf(_bss_start, 0LL); setbuf(stderr, 0LL); puts( "As a student who has been learning pwn for half a year\n" "basic ROP is an essential skill that everyone should master. \n" "Therefore, hurry up and complete the check-in. \n" "Welcome to the Hangzhou Normal...
2025-07-07
malloc位于栈上的chunk
0x00 Background笔者打nssctf上的一题打了两天才通,收获颇多,记录一下。pwn攻击不应该孤立的看。换句话说,要无所不用其极,哪种攻击好使就用哪种。现在就来浅浅分析一下在堆中对栈的攻击。(手法很多,后面慢慢学慢慢补充吧 0x01 利用environ变量以下调试以[NSSRound#21Basic]want_girlfriend(glibc2.35)的程序来演示。在linux环境下,程序存在一个全局变量(char**)environ,位于libc数据段,与libcbase存在固定偏移 1environ_addr=libcbase+libc.sym["environ"] environ指向一个指针数组,数组中每个指针指向一个环境变量字符串,而环境变量字符串是位于栈区的。 1234pwndbg> p &environ$1 = (<data variable, no debug info> *) 0x7ffff7e22200 <environ>pwndbg> x/gx...
2025-07-04
劫持tcache_perthread_struct
0x00 关于tcache_perthread_structtcache 是 glibc 2.26 (ubuntu 17.10) 之后引入的一种技术,目的是提升堆管理的性能,与 fastbin 类似。 tcache 引入了两个新的结构体,tcache_entry和 tcache_perthread_struct 。两个结构体源码如下 12345678910typedef struct tcache_entry{ struct tcache_entry *next;} tcache_entry;typedef struct tcache_perthread_struct{ char counts[TCACHE_MAX_BINS];//0x40 tcache_entry *entries[TCACHE_MAX_BINS];//0x40} tcache_perthread_struct; 12TCACHE_MAX_BINS:# define TCACHE_MAX_BINS ...