首页 > TAG信息列表 > GYCTF
gyctf_2020_force
gyctf_2020_force 查看保护 当size小于0x50时堆溢出,这里只有add没有show和edit。size随便申请多大都可以。 house of force吧,改写top chunk的size为0xFFFFFFFFFFFFFFFF因为在glibc2.23下的源码中这里是无符号写成-1时则为0xFFFFFFFFFFFFFFFF。详细可以看z1r0’s blog 当创gyctf_2020_signin:ubuntu18.04配合calloc产生的漏洞
逆一下 add函数,注意bss段有heaparray之类的东西,然后可以申请九次,然后add的时候无法向chunk写入内容 delete函数,明显的UAF漏洞 edit函数,只能用一次 后门函数,ptr是bss段上的变量 一开始的思路是劫持got表,因为是ubuntu18并且有UAF,可以直接利用double free来申请到atoi@got,然后改ezsqli(GYCTF-WEB)
1.知识点 SQL盲注: 布尔盲注 无列名盲注 2.分析 题目过滤了or和union,无法使用Information_Schema.Tables。 之前常用的 innodb_table_stats 和 innodb_index_stats 也无法使用。 但是我们首先需要查找flag所在的表名,这里我们参考 Alternatives to Extract Tables and ColuGYCTF Web区部分WP
目录: Blacklist Easyphp Ezsqli FlaskApp EasyThinking 前言: 这次比赛从第二天开始打的,因为快开学了所以就没怎么看题目(主要还是自己太菜)就只做出一道题。不过还好有buu,在几天后我终于抽出时间来复盘了。 。。由于buu复现的数量有限,所以没办法都写完,只能挑几道会的写一写。那么GYCTF Ezsqli
Fuzz 发现过滤了 and or if information_schema union+select合起来的时候会过滤,但分开不过滤 过滤了join regexp 考虑盲注 information_schema被过滤,可以换为sys.x$schema_flattened_keys fuzz的时候,发现如果查询成功的话会回显Nu1L 爆表名 exp: # -*- coding:GYCTF 盲注【regexp注入+时间盲注】
考点:regexp注入+时间盲注 源码: <?php # flag在fl4g里 include 'waf.php'; header("Content-type: text/html; charset=utf-8"); $db = new mysql(); $id = $_GET['id']; if ($id) { if(check_sql($id)){