记事本

Behemoth2

这道题第一次做好像还用的是race condition,这次直接就是用PATH了。因为执行的命令都不是绝对路径,我们在当前文件夹下创建一个touch: #!/bin/sh cat /etc/behemoth_pass/behemoth3 给他加上可执行权限,然后把当前路径(.)放在PATH的第一位。再执行behemoth2就会运行我们的touch

Posted by rk700 on July 4, 2014

Behemoth1

这道题我开始试了半天想要invoke一个shell,都没成功。最后用的shellcode是读直接文件 首先,我们把shellcode存在环境变量里。 通过输出ebp地址,我们知道了其在xor esp, 0xfffffff0之前esp的值,进而知道输入的字符串距离返回地址的距离为79bytes 然后打印环境变量的地址,也就是shellcode的地址 我们把要读取的文件软链接到文件sol...

Posted by rk700 on July 4, 2014

Behemoth0

先用ida反编译,发现输入的密码要与一段字符串比较,而字符串是memfrob作用在几个数拼接起来的,即 0x475e4b4f,0x45425953,0x00595e58。先获取拼接得到的字符串: echo -e "475e4b4f\n45425953\n595e58" | tac | xxd -r -p | rev 是OK^GSYBEX^Y 于是可获取密码: print(''.joi...

Posted by rk700 on July 4, 2014

Warchall: Live RCE

http://www.wechall.net/challenge/warchall/live_rce/index.php 这道题开始试了半天,发现没有注入什么的……然后在网上搜php rce,发现了有这个问题:CVE-2012-1823 根据解释,如果query string中不包含未urlencoded的等号,那么整个query会以空格分词,传给php-cgi。于是我们传-s,就会把ph...

Posted by rk700 on July 3, 2014

Bandit

bandit0 只需要ssh登陆即可,登陆后有文件readme bandit1 用刚才得到的密码登陆,要读一个文件名为-的文件。搜了下,开始有的说用--,这表示选项的结束,但我试了cat -- -不行,因为cat把-当作是stdin了 后来搜,发现直接./-就可以 bandit2 这次要读一个文件名包含空格的文件,直接用\ 就可以,实际上tab补全就这么做了……或者用...

Posted by rk700 on July 3, 2014

Quangcurrency

http://www.wechall.net/challenge/quangcurrency/index.php 论坛里有提示,说是标题就是hint,从这个标题可以想到concurrency,虽然我是答完后看论坛才知道 具体的,click会将金额加1,也就是new = old + 1, set value = new;不自然的地方就在于,相比其他操作,click花的时间要长的多的多。所以,...

Posted by rk700 on July 2, 2014

Impossible n’est pas français

http://www.wechall.net/challenge/impossible/index.php 这道题要求在6秒内分解一个超级大的整数,所以标题的名字都是”impossible” 这道题比较奇怪的一个地方是,如果你输入了错误的答案,他会把正确的答案告诉你,而这按理来说并不需要。于是从这里入手,发现即使答错,问题的整数还是没有变,这就给了我们再次尝试的机会。也就是说,先得到正确答...

Posted by rk700 on July 2, 2014

mysql字符串转为整数

http://www.freebuf.com/articles/web/6894.html 这里的原理是:”-”是字符串减字符串,而字符串会被转为0,就变成了0-0=0。然后再比较name和0,字符串name被转为0,得到0=0,条件成立 但这里条件是字符串name被转为0,如果name的第一个字符是数字而且不是0,那么就会被转成那个数字,此时条件不成立 另外,除了”-”,还可以”-0...

Posted by rk700 on June 26, 2014

Training: GPG

http://www.wechall.net/challenge/training/crypto/gpg/index.php 这道题要求用GPG。参考 http://dev.mutt.org/trac/wiki/MuttGuide/UseGPG 另外,wechall发来的邮件mutt没有自动解密,我是把内容保存后另外用gpg

Posted by rk700 on June 24, 2014

AUTH me

http://www.wechall.net/challenge/space/auth_me/index.php 仔细看了conf文件,把每个参数的意思都查了,还是没有发现什么漏洞 然后突然发现conf文件所在的路径,是在文件夹find_me下面。于是访问find_me,发现了需要用的客户端证书等文件 于是将p12导入firefox: preferences->advanced-&...

Posted by rk700 on June 24, 2014

FEATURED TAGS
HTTP wechall PHP linux sql exploit crypto OverTheWire reverse how-to binary pwnable.kr ksnctf misc android webhacking.kr fuzzing
ABOUT ME

信息安全爱好者