记事本

Behemoth1

这道题我开始试了半天想要invoke一个shell,都没成功。最后用的shellcode是读直接文件 首先,我们把shellcode存在环境变量里。 通过输出ebp地址,我们知道了其在xor esp, 0xfffffff0之前esp的值,进而知道输入的字符串距离返回地址的距离为79bytes 然后打印环境变量的地址,也就是shellcode的地址 我们把要读取的文件软链接到文件sol...

Behemoth0

先用ida反编译,发现输入的密码要与一段字符串比较,而字符串是memfrob作用在几个数拼接起来的,即 0x475e4b4f,0x45425953,0x00595e58。先获取拼接得到的字符串: echo -e "475e4b4f\n45425953\n595e58" | tac | xxd -r -p | rev 是OK^GSYBEX^Y 于是可获取密码: print(''.joi...

Warchall: Live RCE

http://www.wechall.net/challenge/warchall/live_rce/index.php 这道题开始试了半天,发现没有注入什么的……然后在网上搜php rce,发现了有这个问题:CVE-2012-1823 根据解释,如果query string中不包含未urlencoded的等号,那么整个query会以空格分词,传给php-cgi。于是我们传-s,就会把ph...

Bandit

bandit0 只需要ssh登陆即可,登陆后有文件readme bandit1 用刚才得到的密码登陆,要读一个文件名为-的文件。搜了下,开始有的说用--,这表示选项的结束,但我试了cat -- -不行,因为cat把-当作是stdin了 后来搜,发现直接./-就可以 bandit2 这次要读一个文件名包含空格的文件,直接用\ 就可以,实际上tab补全就这么做了……或者用...

Quangcurrency

http://www.wechall.net/challenge/quangcurrency/index.php 论坛里有提示,说是标题就是hint,从这个标题可以想到concurrency,虽然我是答完后看论坛才知道 具体的,click会将金额加1,也就是new = old + 1, set value = new;不自然的地方就在于,相比其他操作,click花的时间要长的多的多。所以,...

Impossible n’est pas français

http://www.wechall.net/challenge/impossible/index.php 这道题要求在6秒内分解一个超级大的整数,所以标题的名字都是”impossible” 这道题比较奇怪的一个地方是,如果你输入了错误的答案,他会把正确的答案告诉你,而这按理来说并不需要。于是从这里入手,发现即使答错,问题的整数还是没有变,这就给了我们再次尝试的机会。也就是说,先得到正确答...

mysql字符串转为整数

http://www.freebuf.com/articles/web/6894.html 这里的原理是:”-”是字符串减字符串,而字符串会被转为0,就变成了0-0=0。然后再比较name和0,字符串name被转为0,得到0=0,条件成立 但这里条件是字符串name被转为0,如果name的第一个字符是数字而且不是0,那么就会被转成那个数字,此时条件不成立 另外,除了”-”,还可以”-0...

Training: GPG

http://www.wechall.net/challenge/training/crypto/gpg/index.php 这道题要求用GPG。参考 http://dev.mutt.org/trac/wiki/MuttGuide/UseGPG 另外,wechall发来的邮件mutt没有自动解密,我是把内容保存后另外用gpg

AUTH me

http://www.wechall.net/challenge/space/auth_me/index.php 仔细看了conf文件,把每个参数的意思都查了,还是没有发现什么漏洞 然后突然发现conf文件所在的路径,是在文件夹find_me下面。于是访问find_me,发现了需要用的客户端证书等文件 于是将p12导入firefox: preferences->advanced-&...

The Last Hope

http://www.wechall.net/challenge/bsdhell/thelasthope/index.php 这道题给了一个32位的ELF文件 首先试着运行,发现停住了,从IDA反汇编得到的代码可以得知有反调试之类的措施,于是我们必须先去掉那些干扰 参考这两篇文章: http://dbp-consulting.com/tutorials/debugging/linuxPr...