Xi4or0uji's blog

Xi4or0uji's blog

2019红帽杯wp
前言上个周末打了个红帽杯,题目还是一如既往地难,菜鸡还是一如既往地菜Orz,放下队内wp PWNthree静态编译文件,开了NX有一个3字节的shellcode可以操作;在Tell me的时候写入ropchain,再执行shellcode跳转到0x80f6cc0执行ropchainexp如下12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364#!/usr/bin/env python2# execve...
2019湖湘杯wp
前言这次的湖湘杯py真的是太严重了,原题杯可还行,8-81同分可还行(摊手放一个逼乎上看到的段子在湖湘杯复赛上,主持人突然问:我们这里有没有很菜的战队?一个人回答:有,是答主那个。”主持人问:为什么他们是很菜的队?回答:我发现最后一个小时,只有他们一个队没有直线上分!”还是继续放一波队内wp CRYPTOgive me your passport看源码看到只有提交的字符串解密以后是Admin就给flag,服务器文件就是加密文件,改一下name跑出来字符串交上去就行 rsa有一说一,没啥好解释的,很常见的攻击,GitHub上也有脚本https://github.com/Zui-Qing...
利用分块传输绕过WAF进行SQL注入
前言前段时间看到了这个东西,好像很厉害的亚子,来研究一波 原理客户端给服务器发送数据的时候,如果我们利用协议去制作payload,就可以绕过http协议的waf,实现SQL注入分块传输编码(Chunked transfer encoding)是HTTP中的一种数据传输机制,在HTTP/1.1中,服务器发送给客户端的数据可以分成多个部分,在HTTP/1.1前,数据的发送是由Content-Length去决定的,它规定了一个包的长度,服务器也是按照这个去进行处理的。但是,使用分块传输的时候,数据会被分解出一个个小块,这样服务器就不需要预先知道总数据的大概长度,接收到一个个块进行处理就行了...
2019上海市大学生信息安全竞赛wp
前言这次上海市大学生查了几名没进有点可惜,出题太慢了,放下wp吧 WEBDecade跟上次字节跳动的题差不多…….只是过滤的东西有点不同 babyt5一道安恒月赛原题…………连flag文件名都不改…….. easysqlfuzz发现过滤了union select、or、逗号等等,于是union all select绕过union select,hex(mid(from))代替for和逗号,又发现权限是root,可以用mysql代替information,join代替逗号,最后没有列名的注入,然后脚本盲注12345678910111213141516171819202122232425...
HTTP请求走私
前言当初嘶吼有一道题把菜鸡卡住了,师傅们在群上发了知识点,发现还是挺有趣的,来研究一波 HTTP/1.1协议简单介绍emmm,估计师傅们都对它十分熟悉了,就是一种无状态的、应用层的、以请求/应答方式运行的协议,使用可扩展的语义和自描述的信息格式,和网络上的超文本信息系统进行互动HTTP协议工作于客户端-服务端架构之上,浏览器作为HTTP客户端通过URL向HTTP服务端,也就是WEB服务器发送请求。WEB服务器根据接收到的请求,向客户端发送响应信息。服务器与客户端的HTTP通信过程,请求和响应都是一个数据包,他们之间进行通信的时候是需要一个传输的通道的,所以在通信前会先创建tcp连接,...
内网端口转发
前言内网端口转发是个神奇的东西,记录一下 ssh简介在端口转发之前先简单介绍ssh,ssh其实就是一种网络协议,用在计算机之间的加密登录,就是我们在自己的机子用ssh协议远程登录另一个机子,即使中间被截获了,还是安全的,密码并不会泄露登录命令很简单,就是12#当本地用户与远程用户一样的时候可以缺省user,默认端口22ssh user@host -p 2345 而ssh登录过程是这样的123远程主机接收到登录的请求,发送自己的公钥用户接收公钥,加密登录密码,发过去远程主机私钥解密密码,如果一致就允许登录 可以看到,这个过程还是很安全的,但是还有一种可能,如果有人截获了登录请求,然后冒...
反馈移位寄存器
前言这篇博客其实在xman培训的时候就应该出的,但当时还有一些没学通,所以拖到现在 简介这个其实是硬件实现的一个过程,但是被人搬去了密码学上使用,于是就有了这个知识点啦这其实是一种流密码,整个过程可以简单的理解成一串数据放去进行一系列随机化操作以后获得加密后的数据,这中间的操作,也就是反馈函数如果是线性的,那就是线性反馈移位寄存器,如果是非线性的,那就是非线性反馈移位寄存器,emmm,这么说很难理解,放几个例题就能懂了 线性反馈移位寄存器LFSR2018 ciscn oldstream1234567891011121314151617181920212223242526flag ...
Shiro RememberMe 1.2.4远程代码执行漏洞复现
前言最近博客更新的没有那么勤快了,比赛和杂七杂八的事情太多了,还是要静下心来好好学习啊菜鸡其他语言的漏洞学的并不好,这次拿到了ogeek线下的一个题,来好好分析一波,也学一波javaOrz 环境配置师傅们已经在dockerhub上搭好了环境了,pull下来就能用了1https://github.com/Medicean/VulApps/tree/master/s/shiro/1 漏洞分析生成cookieshiro在登录的时候会提供给一个remember me的功能,用cookie去记录登录的用户,来保证下次登录不用写密码就能直接登录。具体过程是这样的,shiro对信息进行加密的AES...
2019 bytectf wp
前几天打了字节跳动的CTF,我还是太菜了,挂一挂队内wp WEBboring_code题目给了源码,但是很是做了很久才出来,wtcl12345678910111213141516171819202122232425262728293031323334<?phpfunction is_valid_url($url) { if (filter_var($url, FILTER_VALIDATE_URL)) { if (preg_match('/data:\/\//i', $url)) { return fals...
2019 SUCTF wp
前段时间还在夏令营,今天终于有空补发一下当初打的很多的比赛了 WEBcheckin这道题一开始跑偏了,弄了很久.htaccess,最后幡然悔悟,nginx想用.htaccess要改配置文件鸭,网站文件菜鸡控制不了,最后找了一下别的方法,一个菜鸡没见过的东西.user.ini,最后就是绕过上传&执行了1http://www.vuln.cn/6001 需要注意的就是他会检测文件内容不能包含<?,所以上马的时候上script马,还有就是会检测文件头,加个GIF89a就行了 EasyPHP这道题直接给了源码123456789101112131415161718192021222...
avatar
Xi4or0uji
一只还在路上的小蒟蒻的博客