看到是图片，我一般会去010看看发现数据异常？kali启动发现藏了一个压缩包分离喽压缩包里面存放着flag文件打开发现没有当时就没有什么办法了然后我放在了物理机上发现有129个字符，与文本上的字符不匹配用vim打开哦呦，有隐写呦这就会联想到是零宽度字符的......

[HNCTF2022WEEK4]ezheapOff-By-One|堆溢出|leak_libc[*]'/home/bamuwe/ezheap/ezheap'Arch:amd64-64-littleRELRO:FullRELROStack:CanaryfoundNX:NXenabledPIE:PIEenabled$checksec./ezheapEasyNo......

今天遇到个RCE难题，挺另类的，这里做个复盘。进入题目直接给出了源码，可以发现就是个无字母RCE，且有长度限制不能使用url取反绕过，到这想到了以前的一个rce自增绕过方式，但是以前的没有长度限制。点击查看代码<?phperror_reporting(0);if(isset($_GET['hint'])){highlight_f......

[HNCTF2022WEEK2]e@sy_flower发现花指令changetype90nop掉在主函数p重构，然后就可以反编译了编写脚本enc="c~scvdzKCEoDEZ[^roDICUMC"flag=[1]*24forjinrange(24):flag[j]=chr(ord(enc[j])^48)foriinrange(12):v5=flag[2*i+1]......

[HNCTF2022Week1]超级签到str2是编写脚本str2='{hello_world}'print(str2.replace(chr(111),chr(48)))#{hell0_w0rld}[HNCTF2022Week1]贝斯是什么乐器啊？enc为码表为脚本为a="NRQ@PAu;8j[+(R:2806.i"flag=""foriinrange(len(a)):fla......

这道题没给附件，直接连上看看这里一开始用().__class__.__base__.__subclasses__()[-4].__init__.__globals__[bytes([115,121,115,116,101,109]).decode()](bytes([115,104]).decode())进行尝试，后面发现bytes函数被禁用了，可以用另外的函数代替().__class__.__base__.__subclasse......

查看附件信息这里禁用了__import__,直接导致了help()函数和breakpoint()函数没法使用，并且还过滤了关键字符，这里考虑python模板注入，但是这里还过滤chr(),这里可以使用bytes函数payload如下：().__class__.__base__.__subclasses__()[-4].__init__.__globals__['system']('sh')......

拿到程序，先查一下保护状态没开pie，接着看主函数代码逻辑看到这里，因为程序开了canary，本程序没有可以泄露canary的方法，所以普通的栈溢出方法肯定打不了，这里可以考虑一下smashstackStacksmash        在程序加了canary保护之后，如果我们读取的buffer覆盖了对......

栈迁移的利用的过程不是很复杂，原理方面是比较麻烦：栈迁移原理介绍与应用-Max1z-博客园(cnblogs.com)这里简述一下栈迁移的利用过程：我们先来看一下这道题的程序保护情况：开了canary，接着看代码逻辑这里的printf("Hello,%s\n",buf);可以发现是可以泄露栈上的内容然后进入v......

input事件总结：1、onfocus当input获取到焦点时触发2、onblur当input失去焦点时触发，注意：这个事件触发的前提是已经获取了焦点再失去焦点的时候才会触发该事件，用于判断标签为空3、onchange当input失去焦点并且它的value值发生变化时触发4、onkeydown按下按键时的事件触发5......