bjdctf

bjdctf_2020_router pwntools使用 linux系统下命令执行 关键点在case1的这个system函数执行上,dest中是ping命令 我们在system执行函数时,加上;那么前后两个命令都会执行 所以我们拼接strcat中加上;/bin/sh就可以得到shell from ......

bjdctf_2020_babyrop2 格式化字符漏洞 canary保护机制 64位泄露libc bamuwe@qianenzhao:~$ checksec bjdctf_2020_babyrop2 [*] '/home/bamuwe/bjdctf_2020_babyrop2' Arch: amd ......

bjdctf_2020_babyrop 64位泄露libc vuln的buf变量存在溢出 64位函数传入的参数依次存在寄存器rdi,rsi,rdx (顺序从左到右),返回值存在rax中 bamuwe@qianenzhao:~/done/bjdctf_2020_babyrop$ ROPgadget - ......

运行的用ida打开后会看到一个与固定字符串比较的函数,这个串也给出了，没有其它输入的部分，说明如果这个不是flag的话（肯定不是）系统会自动给出解密后的flag,这里处理一下，运行得到flag{9969e2ddd64088f71af0caa891b4dc63} ......

INT_PTR __stdcall DialogFunc(HWND hWnd, UINT a2, WPARAM a3, LPARAM a4){CHAR String[100]; if ( a2 != 272 ) {if ( a2 != 273 )return 0;if ( (_WORD)a3 !... ......

游戏主函数在Assembly-CSharp.dll，.net写的用dnSpy打开打到主函数。显然就是一个数字，它的sha1是那个然后求md5就行了，数字的很容易处理可以网上查也可以自己爆破。md5函数，在取了前20位。得到flag{B8C37E33DEFDE51CF91E} ......

这个没有入口，只能一个个看，发现qes这个函数有一堆数，函数很小，逆向也容易，找到然后用BJD包裹。a=[0x7FFA7E31,0x224FC,0x884A4239,0x22A84,0x84FF235,0x3FF87,……最终得到flag：BJD{HACKIT4FUN} ......

打开题目，发现是一个输入框，抓响应包后发现存在如下提示：Hint: select * from 'admin' where password=md5($pass,true)。 当 PHP 的 md5() 函数的第二个参数为 True 时，会将 string 转换为 16 字符的二进制格式，如使用一些 ......

原理 关于preg_replace \e的代码执行 双引号和单引号的区别 可变变量 解题过程 代码审计 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get ......

原理 抓包看源码 select * from 'admin' where password=md5($pass,true)的绕过 md5==的弱比较问题 md5 的弱比较问题 解题过程 进入靶场看到输入框，随便输几个传递参数：leveldo4.php?password=xx。但是怎么输都没有反应，页 ......

原理 X-forwarded-for SSTI模板注入 命令执行 解题过程 进入靶场，没发现什么，照例查看三个页面的原代码 flag页面会打印ip hint页面提示说如何知道我们的ip的 一般是通过数据包的X-Forwarded-for字段知道ip的，那我们抓包，可以发现的确是通过获取这个值来打印出 ......

F12、SQL注入、robots.txt、抓包都没发现啥。题目名是EasySearch，可能是扫描网站。 但是我用dirsearch什么都没跑出来。看别人WP发现有个`index.php.swp`。 得到PHP源码： ``` Hello,'.$_POST['username'].' *** ***' ......

考点：SSTI的Twig模板注入 尝试多次后（别人），发现是SSTI注入 输入`{{7*7}}`和`{{7*'7'}}`，返回的结果是 ![](https://img2023.cnblogs.com/blog/2539847/202309/2539847-20230901140557428-9074 ......

一进入环境，毫无头绪。 使用`dirsearch`扫出了`/.git/`，可以猜出本关一定与git源码泄露有关。 `python .\dirsearch.py -e * -u http://7cb1db04-980a-4af8-856b-7f6cd5ea231d.node4.buuoj.cn:81/ ......

# bjdctf_2020_babyrop ## 0x01 注意这题位64位。32位和64位传参有区别 ![image-20230807231036816](https://raw.githubusercontent.com/lmarch2/images/main/typora/2023080723 ......

[BJDCTF 2020]easy_md5 题目来源：nssctf 题目类型：web 涉及考点：弱比较、SQL注入 1. 题目给了一个传入口，先随便传点数据 * 发现传入什么都没有回显，尝试抓包： * 在相应包中看到hint： ``` select * from 'admin' where pass ......

得到两个gif,一个是正文一个是副本，010查看发现副本没有文件头，之后用winhex插入文件头，就得到了flagzhi_yin_you_are_beautiful ......

# [BJDCTF 2020]encode ## **分析程序** * 无壳 * 32位ELF程序 程序运行回显如下: ![](https://img2023.cnblogs.com/blog/2726241/202306/2726241-20230619115608638-895301663.pn ......

扫描发现为index.php.swp源码泄漏 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'; $ ......

task.py from Crypto.Util.number import getPrime,bytes_to_long flag=open("flag","rb").read() p=getPrime(1024) q=getPrime(1024) assert(e<100000) n=p*q m ......

rsa_task.py from Crypto.Util.number import getPrime,bytes_to_long from sympy import Derivative from fractions import Fraction from secret import flag ......

法一 先运行程序看看，只有getflag能点 这个猜测CE应该能破 查壳32位无壳，IDA查看 main()函数没什么有价值信息 查找字符串看看 BJD{%d%d2069a45792d233ac}长得就很像flag跟进 INT_PTR __stdcall DialogFunc(HWND hWnd, ......

注意本题需要用到ROPgadget 安装命令： sudo apt-get install python-capstone git clone https://github.com/JonathanSalwan/ROPgadget.git cd ROPgadget sudo python setup. ......

这题比较简单，注意无符号字符串变为负数之后会发生溢出即可 pro.symbols是输出函数地址的意思 r.recvuntil的使用是接收到字符串为止，然后将接受的数据返回 为什么会有两个payload是因为我想使用这种方式看看行不行 为什么是0x10，是因为main函数里不能大于10 为什么是0x0 ......

本题是是一个unity游戏，而且是以c#和.net编写尝试直接用idea进行反汇编，但是没有找到运行逻辑，后来在大佬的wp上发现是利用dnspy对c#的dll文件进行返回编，进而获得结果。 反汇编 BJD hanburger competirion_Data中的Assembly-CSharp.dll ......