DASCTF 2024最后一战 wp(复现)
DASCTF 2024最后一战 wp(复现)checkin 访问即可 西湖论剑邀请函获取器get_env(name = “FLAG”)即可 Webconst_python123456# 假设存在如下路由处理@app.route('/load')def load_data(): data = base64.b64decode(request.cookies.get('data')) obj = pickle.loads(data) return "Loaded" 题目导入了 pickle、base64 等模块,且存在动态数据处理逻辑(如 Session 管理、身份验证),可能通过反序列化传递对象。 Pickle 协议的本质:Pickle 不是简单的数据序列化,而是能重建任意对象的协议。反序列化时会自动调用 __reduce__ 方法,该方法返回一个可执行函数和参数元组。 在线反弹shell生成工具 – Zgao’s...
XYCTF wp
XYCTF本次排名120,清明假期,躺躺做做,但还是学到很多,手速快拿了一个MISC二血,还有一些没做的比较简单的Web和PWN的几题,清明节休息,懒就没做了,逆向剩下很多是纯不会……. WebfateDeepseek做的 deepseek可通 给出了初始exp: 12345678910111213141516171819202122import requestsimport jsondef string_to_binary(s): return ''.join(format(ord(c), '08b') for c in s)# 构造恶意的JSON数据,name字段为'LAME'||'NTXU',但需绕过过滤并保持长度<=6# 这里利用SQLite的字符串连接符||,通过多次UPPER处理得到完整的'LAMENTXU'payload = { 'name': 'LAME"||"NTXU'...
Android逆向14-Frida检测
Android逆向14-Frida检测来自吾爱破解-正己 https://www.52pojie.cn/thread-1701353-1-1.html 检测文件名、端口名、双进程保护、失效的检测点检测/data/local/tmp路径下的是否有frida特征文件,server端改名,例如:fr 指定端口转发 123./fs1 -l 0.0.0.0:6666adb forward tcp:6666 tcp:6666frida -H 127.0.0.1:6666 wuaipojie -l hook.js spawn启动过双进程保护 1frida -U -f 进程名 -l hook.js PS:学会看注入报错的日志,比如说当app主动附加自身进程时,这时候再注入就会提示run frida as root(以spawn的方式启动进程即可) 借助脚本定位检测frida的so 12345678910111213function hook_dlopen() { ...
Android逆向13-例题
Android逆向13-例题初级112345方法1:var ClassName=Java.use("com.zj.wuaipojie2024_1.YSQDActivity"); console.log(ClassName.extractDataFromFile("/data/user/0/com.zj.wuaipojie2024_1/files/ys.mp4"));方法2:android intent launch_activity com.zj.wuaipojie2024_1.YSQDActivity 初级2123456789101112131415161718方法1:android intent launch_activity com.kbtx.redpack_simple.FlagActivity方法2:function hookTest1(){ var Arrays = Java.use("java.util.Arrays"); ...
Android逆向12-RPC
Android逆向12-RPC来自吾爱破解-正己 https://www.52pojie.cn/thread-1701353-1-1.html RPC(Remote Procedure Call Protocol) 是一种远程过程调用协议,允许程序在不同的计算机上请求服务,而无需了解底层网络技术。RPC的主要作用是使不同服务之间的方法调用像本地调用一样便捷 Hook_Libartlibart.so: 在 Android 5.0(Lollipop)及更高版本中,libart.so 是 Android 运行时(ART,Android Runtime)的核心组件,它取代了之前的 Dalvik 虚拟机。可以在 libart.so 里找到 JNI 相关的实现。 PS:在高于安卓10的系统里,so的路径是/apex/com.android.runtime/lib64/libart.so,低于10的则在system/lib64/libart.so 函数名称 参数 描述 返回值 RegisterNatives JNIEnv...
Android逆向11-Frida进阶
Android逆向11-Frida进阶来自吾爱破解-正己 https://www.52pojie.cn/thread-1701353-1-1.html Frida写数据12345678//一般写在app的私有目录里,不然会报错:failed to open file (Permission denied)(实际上就是权限不足)var file_path = "/data/user/0/com.zj.wuaipojie/test.txt";var file_handle = new File(file_path, "wb");if (file_handle && file_handle != null) { file_handle.write(data); //写入数据 file_handle.flush(); //刷新 file_handle.close(); //关闭} Frida_inlineHook与读写汇编什么是inlinehook? Inline...
Android逆向10-Frida_Native
Android逆向10-Frida_Native来自吾爱破解-正己 https://www.52pojie.cn/thread-1701353-1-1.html Process、Module、MemoryProcess 对象代表当前被Hook的进程,能获取进程的信息,枚举模块,枚举范围等 API 含义 Process.id 返回附加目标进程的 PID Process.isDebuggerAttached() 检测当前是否对目标程序已经附加 Process.enumerateModules() 枚举当前加载的模块,返回模块对象的数组 Process.enumerateThreads() 枚举当前所有的线程,返回包含 id, state, context 等属性的对象数组 Module 对象代表一个加载到进程的模块(例如,在 Windows 上的 DLL,或在 Linux/Android 上的 .so...
Android逆向9-Frida入门
Android逆向9-Frida入门来自吾爱破解-正己 https://www.52pojie.cn/thread-1701353-1-1.html Frida简介介绍Frida...
Android逆向8-so层逆向知识
Android逆向8-so层逆向知识来自吾爱破解-正己 https://www.52pojie.cn/thread-1701353-1-1.html down.52pojie.cn so加载流程作用:反调试、脱壳、注入等 函数的基本介绍: 函数名 描述 android_dlopen_ext() 、dlopen()、do_dlopen() 这三个函数主要用于加载库文件。android_dlopen_ext 是系统的一个函数,用于在运行时动态加载共享库。与标准的 dlopen() 函数相比,android_dlopen_ext 提供了更多的参数选项和扩展功能,例如支持命名空间、符号版本等特性。 find_library() find_library() 函数用于查找库,基本的用途是给定一个库的名字,然后查找并返回这个库的路径。 call_constructors() call_constructors()...
Android逆向7-Native逆向
Android逆向7-Native逆向来自吾爱破解-正己 https://www.52pojie.cn/thread-1701353-1-1.html NDK(Native Development...