原创 2018 全國大學生軟件測試大賽——安恆杯Web測試大賽全國總決賽部分Writeup

Orz太菜了只做出了幾道水題,還是來賽後秒幾題學習一下吧,水題就不贅述了。在線工具先看源碼。<?php include("flag.php"); if(!isset($_GET['host'])){ highlight_file

2018-12-18 15:50:06 14

原创 HackTheBox - Poison Writeup

來源:https://www.absolomb.com/2018-09-08-HackTheBox-Poison/Poision是HackTheBox裏面非常簡單的一個CTF服務器,不過它確實包含了一些讓有趣且獨特東西。初始網絡枚舉讓我們依

2018-12-18 15:50:05 7

原创 IAT Hook 技術分析

來源:https://pentest.blog/offensive-iat-hooking/本文將介紹如何將IAT Hook方法用於攻擊活動。這些方法可用於多種情況,包括攻擊者需要逃避某些防禦和分析機制,或在低特權環境中隱藏痕跡。在進入技術

2018-12-18 15:50:05 6

原创 安恆杯丨你一定不知道的安恆杯新姿勢

話說經過了一週年的洗禮,安恆杯也逐漸明確了自己的定位:論規模,我們尚且不如國內幾大知名賽事,畢竟是小(kui)本生意;論質量,我們也還有許多需要改善的地方。但我們還是找到了自己的價值——有用戶說,安恆每個月能辦一次比賽,就很好。我們希望做你

2018-12-18 15:50:05

原创 PWNCTF部分復現

Exploit Class根據readData和writedata函數的邏輯發現數組是char [22][12],主要是判斷越界的if語句有邏輯漏洞readData函數writeData函數我通過輸入正好越界的數組地址發現Canary被破壞

2018-12-18 15:45:08 1

原创 四方密碼

原理&簡介四方密碼是一種對稱式加密法,由法國人Felix Delastelle發明。這種方法將字母兩個一組,然後採用多字母替換密碼。四方密碼用4個5×5的矩陣來加密。每個矩陣都有25個字母。英文中有26個字母,所以一般是去掉其中的Q或者將i

2018-12-14 14:55:17 33

原创 [HCTF] admin出題人求捱打

HCTF2018-web-admin來自出題人的write up ——特別感謝本文作者:ckj123——感謝本文作者長期在“安恆網絡空間安全講武堂”公衆號發表優質

2018-12-13 11:40:14 1

原创 [HCTF] share write up

step1: 從http://share.2018.hctf.io/robots.txt中獲取到題目部分源碼class FileController < ApplicationController before_action :auth

2018-12-13 11:40:14

原创 CVE-2011-0104分析

正文關於office的漏洞。先把進程attach上去然後打開exploit的文件。查看程序崩潰在這裏:查看一下棧回溯,發現此處函數地址的入口處爲:0x300ce252在此處下斷點,重新運行程序。查看esp的內容,此處爲該函數的返回地址。返回

2018-12-12 17:00:02

原创 HackTheBox - Canape Writeup

原文: https://www.absolomb.com/2018-09-15-HackTheBox-Canape/HackTheBox 是我非常喜歡的 CTF 比賽,因爲在拿到 Flag 的過程中需要一些創造性思維,並需要分析和編寫一些

2018-12-11 15:55:09 2

原创 “駭極杯”全國大學生網絡安全邀請賽WriteUp

FIRST“駭極杯”全國大學生網絡安全邀請賽一手WriteUp——特別感謝本文作者:flam4nplus——本文作者多次參與“安恆杯”取得亮眼的成績在本次”駭極杯”中他所在的隊伍取得了rank 7、re和crypto均AK的好成績~Cong

2018-12-07 15:29:58 3

原创 2018全國大學生軟件測試大賽-安恆杯Web測試大賽write up

第一次寫,可能會有遺漏疏忽之處,還請海涵Orz。 常規操作常規操作,試一試 http://114.55.36.69:8009/只允許上傳jpg、png、gif、rar、zip文件類型!看到zip於是猜測是phar://僞協議讀取。於是寫個小

2018-12-07 15:25:07 3

原创 浙江省首屆網絡安全大賽決賽Write Up

隊名:ch1pppppppp 爲了拿創新學分來打的這個比賽,初賽題目非常簡單,決賽的題目平均質量不是很好,但是也有幾道比較有趣的題目,所以放一份詳細的 Write Up 出來供師傅們參考。 上午的時候由於我們沒有準備 misc 的工具,又

2018-12-07 15:00:12 5

原创 2018“安恆杯”Web安全測試大賽(秋季預選賽)

看到一個能拿獎金的比賽忍不住花了3個小時打了一下最後的排名 輸入試試F12找答案game簡單的MD5一鍵payload用第二個打第一個 sudo curl-v http://114.55.36.69:8004/ -H "Cookie: PH

2018-12-06 11:50:05

原创 堆學習入門

藉助hitcon training的題目對三種堆的利用方法進行了一個系統的學習,剛入坑的堆小白們可以一起學習一下。題目鏈接:https://github.com/scwuaptx/HITCON-TrainingUse after free記

2018-12-05 10:35:09