Update

qinganw · Sep 26, 2024 · 6c8e83a · 6c8e83a
1 parent 76cb269
commit 6c8e83a
Show file tree

Hide file tree

Showing 3 changed files with 9 additions and 3 deletions.
diff --git a/CTF/BUUCTF/Pwn/[Black Watch 入群题]PWN.md b/CTF/BUUCTF/Pwn/[Black Watch 入群题]PWN.md
@@ -68,4 +68,6 @@ p.sendafter("say?",payload1)
 p.interactive()
 ```
 
-发送payload1时不能用sendline，否则无法getshell。在这里卡了好久。补充带图解释的[wp](https://blog.csdn.net/mcmuyanga/article/details/109260008)。
+发送payload1时不能用sendline，否则无法getshell。在这里卡了好久。补充带图解释的[wp](https://blog.csdn.net/mcmuyanga/article/details/109260008)。
+
+今天又看了一眼，栈迁移的结果并不能让我们执行任意的shellcode，只是多开辟了一块用来写rop链的空间。所以这类题的一个特征是，rop链攻击思路很明朗，但没有足够的空间写rop链。所以用栈迁移找到一块方便写rop链的地方
diff --git a/笔记/Reverse/Reverse笔记.md b/笔记/Reverse/Reverse笔记.md
@@ -1329,4 +1329,8 @@ mov     r8, qword [r13]
 190. [html](https://github.com/Thehackerscrew/CrewCTF-2024-Public/tree/main/challenges/rev/html)
 - [html语言](https://html-lang.org)逆向。不是网站的那个html，确确实实是一种编程语言，只是故意设计的像html。有位大佬写了个转换器，可将这种语言转为python代码： https://github.com/harrier-lcc/html-python-transpile
 191. [Secure Computing](https://github.com/Pusty/writeups/tree/master/SekaiCTF2024)
-- 使用windows kernel syscall作为opcode的vm。见[windows-syscalls](https://github.com/j00ru/windows-syscalls)。dump所有syscall的脚本见wp
+- 使用windows kernel syscall作为opcode的vm。见[windows-syscalls](https://github.com/j00ru/windows-syscalls)。dump所有syscall的脚本见wp
+192. [Magnum-Opus](https://github.com/trinityhall49/writeups/tree/main/challenges/rev/python/sekaictf-magnum-ops-2024)
+- 又是一道python pickle bytecode逆向题,利用reduce操作执行python内部的的函数（pickle反序列化漏洞也是这个原理）
+- 这篇wp的做法是patch pickle的源代码（`/usr/lib/python3.11/pickle.py`），使其输出诸如调用函数和参数之类的调试信息
+- 建议不要自己实现pickle vm，太复杂了，容易有很多bug。建议直接像这篇wp一样利用hook的方式进行逆向
diff --git a/笔记/Web/Web笔记.md b/笔记/Web/Web笔记.md
@@ -253,7 +253,7 @@
     <body></body></html>
     ```
     假如用`data:` url加载这段内容，整个文档瞬间加载完成，浏览器直接用meta标签里定义的`iso-2022-jp`作为编码格式，那么上面那段`<script>`就会被吞掉；但是若用网络加载，我们在中间填充的垃圾内容会增加文档加载的时间，浏览器只能先加载前面的部分，`<script>`内容正常渲染。过了一段时间后才能加载到meta部分，这时才把编码格式换成`iso-2022-jp`，但不会影响之前已经渲染的内容。本来在遇到延迟的meta标签后，浏览器应该重新解析整个文档，但chrome没有，造成了这个差异漏洞
-    - 更详细的wp： https://0xalessandro.github.io/posts/sekai
+    - 更详细的wp： https://0xalessandro.github.io/posts/sekai 。官方wp： https://blog.ankursundara.com/htmlsandbox-writeup 。补充了一个知识点：从disk cache加载的文档为non-streamed parsing，而从网络加载的文档为streamed parsing。意味着打开同一个文档两次的结果可能会不同（第一次网络加载，第二次走cache）
 
 ## SSTI