前言太菜了了喵,不懂dev 不懂algo
总排名 #68,校外排名 #22,差四十分就能拿到三等奖了还是太菜了
签到啊这,看起来像是压缩包套娃,随便点了几下就找到flag了
1flag{W3LCOME-TO-THE-GUTSY-GUSHY-GEEKGAME}
清北问答flag1
1flag{jailbreak-master-unleashed}
flag2
1flag{CUZ WE ARE TOP OF THE TOP, TOP OF THE WORLD}
#1在清华大学百年校庆之际,北京大学向清华大学赠送了一块石刻。石刻...
iotWe found a command injection….. but you have to reboot the router to activate it…
Reboot(Misc)1234567891011121314151617181920212223242526### IMPORTS ###import os, time, sys### INPUT ###hostname = 'bababooey'while True: print('=== MENU ===') print('1. Set hostname...
题目附件https://github.com/nyyyddddn/ctf/tree/main/%E7%BE%8A%E5%9F%8E%E6%9D%AF2024pwn
pstack程序逻辑非常简单,存在栈溢出只能覆盖返回地址,没有pie,通过二次栈迁移,控制rbp来实现任意地址写,然后第一次栈迁移往bss写满泄露地址的rop,之后二次迁移过去执行就可以执行rop,第一次rop泄露地址,第二次rop直接getshell
1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484...
题目附件https://github.com/nyyyddddn/ctf/tree/main/gdbjail
最近在ImaginaryCTF看到两个关于gdbjail的题目,觉得挺有意思的,远程提供了一个受限的gdb调试环境,限制交互的时候使用的命令,目的是利用限制的命令去实现getshell,或者是将flag读出来。
没用过没装插件的gdb,不装插件挺难用的
gdbjail1run.sh
123#!/bin/bashgdb -x /home/user/gdbinit
gdbinit
1source /home/user/main.py
main.py
123456789101112...
题目附件https://github.com/nyyyddddn/ctf/tree/main/nssr3d_Iterator_Trap/Iterator_Trap
Iterator_Trap这是一个关于stl迭代器不安全使用导致uaf的漏洞,第一次出和stl相关的题目
题目逻辑
1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283...
题目附件https://github.com/nyyyddddn/ctf/tree/main/srcrf_pwn
chroot escape啊这,咱没有想到解出来的人很少,因为chroot escape相关的文章网上有很多,这里挑重点说一下,更详细的信息可以看这里
https://web.archive.org/web/20160127150916/http://www.bpfh.net/simes/computing/chroot-break.html
chroot本质上是通过chroot系统调用去更改进程的根目录位置,以限制该进程对系统其他部分的访问。然而,在具有root权限的情况下...
题目附件https://github.com/nyyyddddn/ctf/tree/main/xyctf_pwn
前段时间好忙,最近这几天才抽出时间整理下东西,xyctf是今年四月份开的,当时是第一次出题,想给入门pwn一段时间的师傅分享些简单又可以开阔一下思路的pwn题
hello_world(签到)在glibc 2.31以后 csu fini csu init都变成了动态链接,大多数好用的修改寄存器的gadget(如pop rdi ret,pop rsi ret)都是从csu init中错位字节获取的,在能泄露libc的情况下,可以转换一下思路,从libc中拿gadget
程序逻辑
...
题目附件https://github.com/nyyyddddn/ctf/tree/main/%E7%BE%8A%E5%9F%8E%E6%9D%AF2023
risky_login一道riscv64 小端序 栈溢出 ret2text的题目,最新的ida 9.0可以反编译riscv架构的程序,就不需要用难用的ghidra去分析了
1234567891011121314151617181920212223242526272829303132333435363738394041int __cdecl main(int argc, const char **argv, const char **...
题目附件https://github.com/nyyyddddn/ctf/tree/main/%E5%A5%87%E5%A5%87%E6%80%AA%E6%80%AA%E6%A0%BC%E5%BC%8F%E5%8C%96%E5%AD%97%E7%AC%A6%E4%B8%B2%E5%88%A9%E7%94%A81
非栈上格式化字符串套orwhznuctf_ezpwn
12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849int __cdecl main(int arg...
题目附件https://github.com/nyyyddddn/ctf/tree/main/tfcctf2024
pwnGUARD-THE-BYPASS程序的逻辑如下 这里GUARD也就是指canary
1234567891011121314151617181920212223242526272829303132int __cdecl main(int argc, const char **argv, const char **envp){ int v5; // [rsp+Ch] [rbp-14h] BYREF pthread_t newthread; // [rsp+1...