- 博客(70)
- 收藏
- 关注
RSS订阅原创 VMware+Windows 11 跳过安装阶段微软账号登录
摘要:本文介绍了在Windows OOBE(开箱体验)阶段断开网络适配器以跳过联网验证的方法。步骤包括在VMware中断开网络适配器连接,同时按下Shift+F10打开命令提示符,输入"oobe\BypassNRO.cmd"命令执行,之后即可正常进行系统设置。该方法适用于需要绕过联网验证的安装场景。
2025-05-25 21:21:31
421
原创 [第五空间 2021]EasyCleanup
注意的是,如果我们只上传一个文件,这里也是不会遗留下Session文件的,所以表单里必须有两个以上的文件上传。【文件包含&条件竞争】利用session.upload_progress文件包含进行RCE。
2024-08-18 22:01:07
543
原创 [NSSRound#4 SWPU]1zweb
正常来说在反序列化过程中,会先调用wakeup()方法再进行unserilize(),但如果序列化字符串中表示对象属性个数的值大于真实的属性个数时,wakeup()的执行会被跳过。注意:要将php.ini中的phar.readonly选项设置为Off,否则无法生成phar文件。伪协议解析phar文件时,都会将meta-data进行反序列化,测试后受影响的函数如下。meta-data是以序列化的形式存储的。php一大部分的文件系统函数在通过。运行它,得到新的1.png,上传。运行它,得到一个1.png文件。
2024-07-14 01:29:59
568
原创 [GHCTF 2024 新生赛]ezzz_unserialize
finfo 该类的构造函数finfo::__construct — 别名 finfo_open(),也可以读取文件。SplFileObject 在此函数中,URL 可作为文件名,不过也要受到allow_url_fopen影响。GlobIterator 与上面略不同,该类可以通过模式匹配来寻找文件路径。array_walk() 函数对数组中的每个元素应用用户自定义函数。Heraclqs::__invoke中有一个弱比较。
2024-07-11 20:15:59
1074
原创 [0ctf 2016]unserialize
以此推算,hacker比where多出一个字符,34个where即可。同时可以利用class.php中的filter过滤。由此想到可以将photo文件路径修改为。将base64解密即可得到flag。大致的查看源码,发现flag藏在。文件中发现调用photo文件路径。像这种反序列化题都会有源码。根据这个线,找到可利用点。抓包update.php。得到www.zip源码。那我们需要找到可以调出。所以需要多出34个字符。可以利用数组绕过过滤。
2024-07-10 17:18:54
725
原创 [安洵杯 2019]easy_serialize_php
该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。将’php’,‘flag’,‘php5’,‘php4’,'fl1g’等字符串置空。按代码顺序,无论输入什么,后面都会添加一个$_SESSION[‘img’]即键应当被过滤7个字符,任意组合phpflag,phpfl1g等等都可。因此我们可以利用过滤的字符串长度,逃逸,提前闭合。添加前一个键的值,该值任意。如果键被过滤置空,需要将。将需要传入的页面替换成。,即需要显示的页面。
2024-07-10 01:49:05
484
原创 [SWPUCTF 2021 新生赛]ez_unserialize
将结果直接通过get请求提交即可得到flag。得到一个robots.txt目录。根据代码构造php序列化对象。
2024-07-08 16:12:25
428
原创 [HNCTF 2022 WEEK4]flower plus
使用脚本将花指令去除后,u,c,p一下基本没啥问题。用下面idapython脚本得到密文和key。根据两种花指令特征,写出去花指令脚本。可以得到下面正常main函数。分析可得为rc4+xor加密。
2024-06-09 19:47:18
434
原创 [HGAME 2023 week4]shellcode
看题目,将base64解密,然后dump下来,再拉进ida里,发现为tea加密。在tea加密中得到key。密文就是另外的一个文件。
2024-06-09 02:31:03
403
原创 [羊城杯 2023]CSGO
下面一行是我们输入的flag加密,可以反证为base64变表加密。直接来到main_main,发现能可能是base64变表。注意一点,输入的数据尽可能长一点,不然没有完整的变表。此处为base64变表,来到v25的地址处。go语言的主函数是main_main。主函数初始化时,有反调试检测。打个断点在前面,然后nop掉。在前面打个断点,F9。
2024-06-08 23:30:42
330
原创 [AFCTF 2018]JPython
小祥为了保护自己的代码,修改了部分Python Bytecode指令集,并把这个指令集称之为JPython, JPython只能在他私人定制的环境上才能运行,其他人无法得到这个环境。现在,小明为了获取小祥代码中的秘密,收集到了三个文件 hash.pyc 可以直接使用Python 2.7运行的脚本 Jhash.pyc 通过hash.pyc转化而成的只能在JPython环境上运行的脚本 Jflag.pyc 藏着小祥最大的秘密,但是只能在JPython的环境运行。加密过程:base64加密->异或7。
2024-06-01 17:57:02
392
原创 小米8SE刷root(面具)
首先准备好一根数据线,一部小米8SE手机,和一台电脑接下来需要的软件我会给出链接和使用方法,以及分享我遇到的困难和解决方案下面操作不会的,可以参考这个,我也是跟着这个教程刷好的。
2024-05-28 02:49:58
2968
原创 [HUBUCTF 2022 新生赛]ezsql
发现密文以md5(password)形式存储在数据库中。users要换成十六进制0x7573657273。思路:更新资料的时候可以同时更新所有密码。我们需要知道密码的字段名。爆password字段。
2024-05-15 00:54:47
689
原创 [第五空间-2021]yet_another_mysql_injection
password输入必须和数据库中查询到的一样。username必须为admin。
2024-04-24 21:08:54
400
原创 第一届[长城杯信息安全铁人三项赛](初赛第一赛区)re
py3.11\Lib\site-packages\Crypto\Cipher\AES.py",使其输出key和iv。注意提示信息,可在3.11版本python下直接引用encrypto库。查看encrypto.pyd的用法和功能。将base64变表提取。
2024-04-09 11:57:22
765
1
原创 [柏鹭杯 2021]baby_python
可见核心代码在baby_core.pyc中,也就是在baby.exe_extracted\PYZ-00.pyz_extracted\baby_python中。pyinstxtractor解包,发现需要python3.7本版,不然解出来了,会发现PYZ-00.pyz_extracted文件夹中什么也没有。会有许多报错,也是正常的,因为PYZ-00.pyz_extracted目录下的文件被加密了。baby_python\baby_core.pyc.encrypted也是被加密的。接下来写个文件解密脚本。
2024-03-19 22:01:35
928
原创 [长城杯 2022 高校组]baby_re
重要的函数在new.cp37-win_amd64.pyd中,我们直接在同一级文件夹中建立一个py文件来引用new即可,需注意的是编码格式(utf-8),我在这卡了。可见为base64,但进行了变表,我们也无法直接打开自定义的new库,查看重要函数,不过可以进行爆破。主要看run.pyc,uncompyle6反汇编。得到一个run.exe_extracted文件。base64的简单说明:3位加密为4位。看图标或查壳为python可执行文件。pyinstxtractor 解包。
2024-03-15 21:25:23
610
原创 树的运用-计算器
计算器通过解析用户输入的表达式,使用Lark库构建语法树,并通过递归地评估语法树来计算结果。用户可以通过点击按钮来输入表达式和操作符,并通过点击"=“按钮来获取计算结果。代码定义了一个Calculator类,它包含了一个窗口(由Tkinter的Tk类创建),一个文本框用于显示输入和输出,以及一组按钮用于输入操作符和数字。用户还可以通过点击"C"按钮清除输入和输出,以及通过点击"↼"按钮删除最后一个字符。总之,这段代码实现了一个简单的图形界面计算器,可以执行基本的四则运算和百分比计算。
2024-01-15 02:23:32
512
原创 [0xGame 2023]
讲一下思路:先判断v5是否等于某个数,然后将解密后的flag输出到一个临时文件夹中,最后还将这个临时文件删了。下面是详细的解题步骤:(因为这题是复现的,所以每个步骤都比较详细)不过这不用担心,可以直接修改主函数的跳转和v5的值。修改完后,按F5来到伪函数,双击v5,转到内存处。发现有个比较,这决定主函数是否跳转到解密。将v5的值修改为0x1CF410。就可以看见临时文件的存放地址了。用脚本调出来或者直接找,都行。用010Editor打开。动调得到iv和key。
2023-11-10 21:11:43
205
原创 [SHCTF-校外赛道]61名
将Java代码copy下来,在下面两处修改一下,将密文和密钥输出。在存放输入数据的内存处打个断点,进行AES加密时会断下。通过观察汇编,得知这是一个AES+base64组合加密。SMC题,可以动调解密,或者自己写个idc脚本。动调,输入42位数,修改跳转,得到key。动调到ArgList未与input运算前。动调,将每层的迷宫打出来,然后跑脚本。提取其中的数据,有点misc的味道了。当内存变化时,可以得到key的切片。接下来就是动调,判断切片的情况。重点在于AES的key和iv。
2023-10-31 21:25:17
255
原创 [MoeCTF]2023
junk_codeRUST根据提示下载完插件后,在IDAZ中运行以下代码生成插件ezandroid来到主函数,发现调用sub_270CDF函数来到主要逻辑处sub_27BF90函数跟进加密函数EXP
2023-10-16 22:44:00
297
原创 [MoeCTF 2022]Fake_code
的形式是SEH,Windows的一种异常处理机制。对于 if ( v6 == 51 ),可以输入51个字符,或者修改跳转,绕过。对于第二种方法:主要学会修改内存中的数据,好像没有更方便,哈哈哈!发现try中的代码部分,except中的代码没反汇编出来。至于为什么第一个字符不是M,我也不知道,试了好多次也一样。还有一种方法:只进行了简单的异或加密,进行动调。再次双击v7,进入内存,就可以看到flag了。因为每次只能修改16位,所以将密文修改一下。在xor处下断点,方便修改内存中的数据。
2023-09-24 01:06:42
289
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人