HNCTF
【misc】[HNCTF 2022 WEEK2]calc_jail_beginner_level4.1(JAIL) --沙盒逃逸,python模板注入变换
这道题没给附件,直接连上看看 这里一开始用().__class__.__base__.__subclasses__()[-4].__init__.__globals__[bytes([115,121,115,116,101,109]).decode()](bytes([115,104]).decod ......
【misc】[HNCTF 2022 WEEK2]calc_jail_beginner_level4(JAIL) --沙盒逃逸,python模板注入
查看附件信息 这里禁用了__import__,直接导致了help()函数和breakpoint()函数没法使用,并且还过滤了关键字符,这里考虑python模板注入,但是这里还过滤chr(),这里可以使用bytes函数 payload如下:().__class__.__base__.__subclas ......
【misc】[HNCTF 2022 Week1]l@ke l@ke l@ke(JAIL) --沙盒逃逸,help函数泄露全局变量
打开下载来的附件 这道题比之前那道题多了长度限制,长度不能大于6,所有globals()函数用不了,但还是可以输入help()函数,然后再输入__main__就可以查看当前模块的值 拿到key之后就可以去backdoor函数getshell了 ......
【pwn】[HNCTF 2022 WEEK3]smash --花式栈溢出
拿到程序,先查一下保护状态 没开pie,接着看主函数代码逻辑 看到这里,因为程序开了canary,本程序没有可以泄露canary的方法,所以普通的栈溢出方法肯定打不了,这里可以考虑一下smash stack Stack smash 在程序加了 canary 保护之后,如果我们读取的 buffer 覆 ......
【pwn】[HNCTF 2022 WEEK2]pivot --栈迁移
栈迁移的利用的过程不是很复杂,原理方面是比较麻烦:栈迁移原理介绍与应用 - Max1z - 博客园 (cnblogs.com) 这里简述一下栈迁移的利用过程: 我们先来看一下这道题的程序保护情况: 开了canary,接着看代码逻辑 这里的printf("Hello, %s\n", buf);可以发现 ......
【pwn】[HNCTF 2022 WEEK2]ret2libc --rop构造泄露libc
这道题是简单的libc,不过多分析了 exp: from pwn import * from LibcSearcher import * io=remote("node5.anna.nssctf.cn",28341) elf=ELF("./pwn") put_got=elf.got["puts"] ......
【misc】[HNCTF 2022 Week1]lake lake lake(JAIL) --沙盒逃逸,globals函数泄露全局变量
查看附件内容 这道题的逻辑就是可以让你输入1或者2,进入各自的函数去执行功能 func函数: def func(): code = input(">") if(len(code)>9): return print("you're hacker!") try: print(eval(code)) ex ......
【misc】[HNCTF 2022 Week1]python2 input(JAIL) --沙盒逃逸,python2环境
查看附件,这次有点不太一样,这次是python2的环境 只有一个input函数,但是python2的input函数可是不太一样: 在python2中,input函数从标准输入接收输入,并且自动eval求值,返回求出来的值在python2中,raw_input函数从标准输入接收输入,并返回输入字符串在 ......
【misc】[HNCTF 2022 Week1]calc_jail_beginner_level2.5(JAIL) --沙盒逃逸,breakpoint函数
查看附件内容 这道题过滤挺多重要的函数,比如exec,input,eval,还对长度做了限制,这里了尝试了help函数,但是最后一步!ls没通,接着考虑breakpoin函数: Python中内置了一个名为breakpoint()的函数,在Python 3.7中引入,用于在调试模式下设置断点。使用b ......
【misc】[HNCTF 2022 Week1]calc_jail_beginner(JAIL) --沙盒逃逸
这是一道python沙盒逃逸的题目: 沙箱逃逸:就是在给我们的一个代码执行环境下,脱离种种过滤和限制,最终成功拿到shell权限的过程,其实就是闯过重重黑名单,最终拿到系统命令执行权限的过程,这里不理解没关系,多做两道题就知道了,老实说国内的沙箱逃逸的题不是很多,而且大多都是面向新手的?对我来说正好 ......
【re】[HNCTF 2022 Week1]calc_jail_beginner_level1(JAIL) --沙箱逃逸,python模板注入
查看附件 可以看到,这次过滤挺多重要的字符,比如\,'等字符,还过滤的字母i和b,这道题可通过python模板注入:(ssti注入) # 下面是渐变过程().__class__.__base__.__subclasses__() getattr(().__class__, '__base__')._ ......
【misc】[HNCTF 2022 Week1]calc_jail_beginner_level3(JAIL) --沙盒逃逸,help函数
还是先看附件内容 这里对字符串长度进行了进一步的限制,长度不能大于7,这里可以输入help(),help函数: help() 函数是 Python 的一个内置函数,用于获取关于模块、函数、类、方法等的帮助信息。当你在交互式命令行中使用 help() 函数时,它会打开一个交互式帮助系统,让你能够浏览相 ......
【misc】[HNCTF 2022 Week1]calc_jail_beginner_level2(JAIL) --沙盒逃逸,嵌套执行getshell
查看题目附件 这个if语句直接限制了输入的字符串长度不能大于13,像__import__('os').system('sh')现在肯定用不了,但是可以输入eval(input())进行嵌套执行,这句代码的意思相当于input()继续输入字符串,再由eval函数解析执行,所有就没有了字符长度的限制,然 ......
[HNCTF 2022 WEEK2]e@sy_flower
花指令分析 如果没接触过花指令,先看这个博客,大致了解一下花指令 https://www.cnblogs.com/Here-is-SG/p/15802040.html 点击此处下载附件 查壳 32位,无壳 去除花指令 用32位ida打开,就看到红色字体的XREF(非自然程序流程,可以用它对程序流进行 ......
[HNCTF 2022 WEEK2]
easy_unser <?php include 'f14g.php'; error_reporting(0); highlight_file(__FILE__); class body{ private $want,$todonothing = "i can't get you want,But ......