CISCN

# re mov不想写了 ## ezbyte dwarf字节码执行 直接readelf -Wwf读取字节码 得到![image-20230528162803555](https://img2023.cnblogs.com/blog/2696005/202306/2696005-20230619103 ......

ciscn_2019_c_1 这道题的主要应用知识是基本ROP中的retlibc，所以通过这一道题来学习一下retlibc以及复习静态链接和动态链接相关知识 复习 关于动态链接的话，主要是需要知道动态链接库libc.so中的代码映射到内存中结构不变 比如说： //假设在文件中的地址是0x40030, ......

# 2023 CISCN REVERSE 本次初赛情况一般般吧，简单复现一下ezbyte和movAside ## ezbyte ### 原方法（FAILED） ![image](https://img2023.cnblogs.com/blog/3028175/202305/3028175-20230 ......

该题给了很多p，q的约束条件 ```python assert p > 0 assert q > 0 assert p != q assert p.bit_length() == 512 assert q.bit_length() == 512 assert isPrime(p) assert is ......

web （鄙人才疏学浅，如有不对还请各位大佬指教） unzip 一：信息收集 这个是在ctfshow靶场里面复现的 然后点击进入，看到代码 这里我们解读一下代码 <?php error_reporting(0); highlight_file(__FILE__); $finfo = finfo_op ......

虽然没有参加，但是这道题我比较感兴趣，bmp拼图，听其他师傅一说，我就感觉有印象，一查发现与22年的春秋杯PINTU类似 要拼图，先要知道原图的宽高，给出的图片宽是不等的，需要我们去计算一下 files = os.listdir('./tmp4') size = [] for file in fil ......

说明：此题给出的两个图片，a.png及k.png是分别表示的x坐标和y坐标。然后再用此坐标对题目进行画图，从而得出flag 但是由于本人的代码技术有限只能借鉴大佬们的代码然后对其进行分析学习。 import numpy as np from PIL import Image class test() ......

对于这一次的ciscn比赛，我其实感觉问题很大，首先对于题目的认知比较少，然后可能这次的题比较新颖，大多都不是很会做，只会做一些简单的题目。 其次就是这个黑灯py模式，醉了，无话可说。 可能也是我的能力不够把，人脉也是实力的一部分。 被加密的生产流量 因为给的是modbus加密，所以我先过滤一下mo ......

打了两天，第一天出了俩，第二天就出了一个（还不是 Android，只能说非常离谱 ### ezbyte 看师傅们的 Writeup 都说是 `DWARF Expression`, 可以直接用 `readelf -wf` 就行，我比赛的时候没看出来，直接动态调试分析的。 这里看到把输入压栈，在栈上下内 ......

虽然两天就解出来一道题，但是好歹是写了，还是写个wp记录一下吧。 #题目babyre baby都能做出来的re。。 ##解法 其实这道题我也头疼了很久。 因为下载下来是一个xml文件，我没做过类似的逆向题。 打开之后看到是一个xml文档，很乱，虽然捕捉到了类似于“welldone”这种关键的回显信息 ......

## Misc ### 签到 代码：print(open('/flag').read()) 得到flag ### 被加密的生产流量 追踪tcp.stream eq 0的TCP流 ![image-20230527095134896.png](https://cdn.nlark.com/yuque/0/ ......

# 【CISCN2023】unzip 详解 **考察点:软连接+getshell** 首先分析一下题目，unzip，百度一下，发现这是一个linux命令，用于解压缩zip压缩包,这里放出一个详细解释，就不赘述了。 https://www.cnblogs.com/cxhfuujust/p/819331 ......

ciscn_2019_n_1 题目分析 这题的主要溢出点在于gets（v1），但是这题有两种思路，第一种方法是通过gets函数溢出修改变量v2的值，使v2能够通过if判断语句，执行system函数，第二种方法还是通过gets（v1）溢出，不过这次是通过libc来实现，将ebp覆盖为system函数的 ......

注册帐号登录 存在文件上传点，抓包上传文件，修改Content-Type后可以上传代码文件，但是后缀会变为图片后缀 上传文件后有文件下载功能 抓包发现filename直接曝露在内容中，试试下载其他文件，发现存在任意文件下载漏洞 将已知文件都下载下来 文件源码 login.php <?php sess ......

访问页面注册帐户登录，提示要买到lv6，翻了好几页发现没得lv6的商品，写个脚本跑看看lv6商品在第几页 import requests i = 0 while True: i += 1 url = 'http://40902fee-e0e5-4d7a-8b38-b16b5f97549b.node4 ......

看到有登录框想到可能存在注入，但是对每个页面都测试了并没有结果，看有提交订单页面和查询订单页面猜测可能会有二次注入，但是没有源码不好测试，然后查看网页源码也没发现什么 看了下别人的wp，源码最后有提示<!--?file=?-->，可能存在文件包含，这个确实没有想到 </body> </html> < ......

有登录框可能有注入，查看源码有一个图片链接id直接曝露出来也了可能有注入 查看robots.txt文件，提示有备份文件，尝试已知php文件，得到image.php.bak备份文件 image.php源码 <?php include "config.php"; $id=isset($_GET["id" ......

[CISCN 2019华北Day2]Web1 提示了flag表中有flag列，我们只能提交id 输入1和2都有文本输出，3的时候出现报错 输入1’#出现以下图片所示情况，说明应该存在过滤 我用fuzz跑一下，看一下哪些字符被过滤了 发现空格，or，order，union以及报错注入的相关字符都被过滤 ......

一、【CISCN2019 华北赛区 Day1 Web1】Dropbox 1 看题 首先是需要注册登录，然后进入是一个文件上传和下载的页面。尝试php一句话木马和burp抓包修改后缀的木马都失败，看来是过滤了。这时候对下载文件进行抓包： 尝试修改一下filename能不能抓到Index.php的包，这 ......

检测一下啊 发现NX保护: 堆栈不可执行 然后没有地址随机化(很重要) 载入IDA int __cdecl main(int argc, const char **argv, const char **envp) { int option; // [rsp+Ch] [rbp-4h] BYREF in ......

[CISCN] BadProgrammer 页面很长，有很多的按钮，但是点了之后都没反应 查看源码、扫描 打开到具体目录 一个个目录点开看，在static/下找到了一个flag.ejs文件 下载，打开 可是两个目录下的文件夹中都没有flag.txt，得想办法找到读取出来 路由文件app.js 中提到 ......

检测 开启了栈不可执行的检测 然后拖进IDA分析 比较赤裸 注意到,我们输入的是num1,但是比较的是num2 所以我们需要把num1溢出到num2 比较幸运的是,num1在num2的上方(空间角度) 所以我们可以把num1向下溢出到num2 char num1[44]; // [rsp+0h] [ ......