wangding-2rd-fgo-writeup

作者: 分类: pwn 时间: 2018-09-11 浏览: 267 评论: 暂无评论

use after free

在free的时候没有把指针置 NULL,导致可以再次free,从而出现一些问题

checksec

checksec.png

main

程序逻辑如下

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  int v3; // eax
  char buf; // [esp+8h] [ebp-10h]
  unsigned int v5; // [esp+Ch] [ebp-Ch]

  v5 = __readgsdword(0x14u);
  setvbuf(stdout, 0, 2, 0);
  setvbuf(_bss_start, 0, 2, 0);
  while ( 1 )
  {
    while ( 1 )
    {
      menu();
      read(0, &buf, 4u);

阅读全文»

wangding-2rd-memffle-writeup

作者: 分类: pwn 时间: 2018-09-02 浏览: 807 评论: 2条评论

前言

立个flag,未来一年,一周至少一篇pwn

正文

网鼎杯第二场 memffle
如果有不对的地方,恳请师傅们指正

checksec

checksec.png
保护全开,通常是俩种解法,一个是绕过canary,一个是覆盖hook

阅读全文»

二进制学习(1)-FindMyDex

作者: 分类: 逆向 时间: 2017-06-18 浏览: 4711 评论: 1条评论

前言

好久没有写文章了,先废话几句。
前段时间在忙毕设和出题,虽然偶尔也挖挖洞,但毕竟是0day也不好发出来。
于是blog就长草了,想了想这样还是不太好。
当然也有一些其他原因,总之,各种拖着,也没有学习,没有写文章。
恍恍惚惚过了半年也想明白了很多事,开心还是要看自己。
so,just do it.
感谢@overload,@spine,@giglf等师傅们的耐心指导。

正文

pwnhub的一道apk逆向题,apk链接在此
直接丢进jeb,发现无法反编译。于是用apktools进行解压,发现没有classes.dex文件。
当时以为是动态脱壳,查了一些工具如DexHunter都没有效果。

阅读全文»

74cms后台getshell

作者: 分类: 代码审计 时间: 2017-02-11 浏览: 10285 评论: 2条评论

前言

没有getshell的审计都是耍流氓。
今天突然灵光闪现,重新看了下74cms,终于拿下了。

正文

Application/Common/Controller/BackendController.class.php
有这么一段可怕的代码

阅读全文»

74cms 注入利用

作者: 分类: 代码审计 时间: 2017-01-28 浏览: 9293 评论: 3条评论

前言

之前看了续爷的二次注入,字符限制为60个。怼了半天没弄出更短的sql语句,于是看了下登录的逻辑。
找到密码的加密方式

$admin = M('Admin')->field($field)->where(array('username'=>$username))->find();
if(!$err && !$admin) $err='管理员帐号不存在';
if(!$err && $admin['password'] != md5(md5($password).$admin['pwd_hash'].C('PWDHASH'))) $err='用户名或密码错误!';

看看C("PWDHASH")

74cms/Application/Common/Conf/pwdhash.php

阅读全文»