payload

什么是 JWT？ JSON Web Token（JWT）是一种开放标准（RFC 7519），它定义了一种紧凑且自包含的方式，作为JSON对象在各方之间安全的传递信息。这个信息可以通过数字签名进行验证并信任。JWTs 可以使用密钥（结合HMAC算法）或者 使用RSA、ECDSA加密的公钥私钥对进行签名。 尽管JWTs能够在各方之间也提供安全加密，但是仍专注于签名Token。当其他方隐藏了加密Token的某些声明时，签名Token可以验证声明的完整性。当Token使用公钥私钥对进行签名时，这个签名还能证明只有拥有私钥的一方才是签发它的一方。 什么时候使用 JWT ？ 授权 ：这是JWT最普遍的使用场景了。当用户登录之后，每次请求都包含JWT，允许用户访问那些只有携带token才能访问的路由、服务、资源。如今在单点登录中广泛使用了JWT，因为JWT体积小，且能够在不同域名之间被使用。 信息交换 ：JWT是一种在各方之间安全传输信息的好方式。因为JWTs能够签名，比如使用公钥私钥对，你能够确定发送者的身份。另外，签名是使用header和payload计算而来，所以你也可以验证内容是否被篡改。 JWT的结构 jwt 包含三部分，之间以点（.）分隔 Header（头部） Payload（负载） Signature（签名） 一个典型的jwt如同下面这样: xxxxx.yyyyy.zzzzz

pwn难啊！ 1、[OGeek2019]babyrop 先check一下文件，开启了NX 在ida中没有找到system、‘/bin/sh’等相关的字符，或许需要ROP绕过（废话，题目提示了） 查看到804871F函数中有个ctrncmp函数，输入的buf与一个随机数进行比较。可以通过输入开头的字符为‘\x00’进行绕过，使strlen长度为0，则strncmp判定必定成功。 之后的漏洞函数中，a1是我们之前输入的第八个字符，如果我们输入\xff时，则在read时a1会进行符号填充，那么我们就可以读入4294967295（-1）个字节，这将直接导致栈溢出，之后就行常规的ROP。 #!/usr/bin/python2 #coding=utf-8 from pwn import * context.log_level = 'debug' execve_file = './pwn' #p = process(execve_file) p = remote('node3.buuoj.cn',28790) elf = ELF(execve_file) libc = ELF('./libc-2.23.so') bin_sh_off = libc.search('/bin/sh').next() system_off = libc.sym['system'] write_plt = elf

32位和64位的syscall原理都是一样 只有传参和调用存在差异，以下一起说，做个对比 32位系统调用使用 " int 80h " 64位系统调用使用 " syscall " （汇编代码就是syscall 直接ROPgadget--only查找即可） 32的系统调用号与64位的不大一样 使用的时候最好百度一下 比如 32位 #define __NR_execve 11 64位 #define __NR_execve 59 32位的系统调用号放在eax 传参依次是 EBX、ECX、EDX、ESI、EDI、EBP 64位的系统调用号放在rax 传参依次是 RDI、RSI、RDX、R10、R8、R9 （和64位函数传参一样） 一个64位的题目 backdoor Weekly 1 Challenge 2 题目说的很清楚了 构造ROP chain 没有/bin/sh字眼 只能自己gets 到bss区域 然后调用execve （想过使用shellcode 但是没找到合适的可执行地址） from pwn import * # io=process('./chall') elf=ELF('./chall') io=remote('hack.bckdr.in',15102) # context(os='linux', arch='amd64', log_level='debug') #

这手法有点类似盲注了 进入程序首先输入choice 然后输入name 只有1，2，3才能退出while 正常的话只能执行 red,blue和exit函数 red里面没什么东西 blue内容如上 是一个矩阵乘法 然后判断相等 如果相等 可以调用zion函数 printf_command内容是 “ printf '%s\\n' ” 就是把%s替换为name 然后system调用 这里如果name里面含有 " /sh " 的字眼就好了 不过blue前面还有一个name的判断 我当时的想法是strcmp函数截断判断，然后构造单位矩阵和原矩阵相乘 最终执行/sh 不过strcmp是\0截断（我当时以为是\n截断） \0截断的话就没办法执行后面的/sh 无可奈何地瞪眼，发现用到的变量都是全局变量，去data段看了看，发现了突破口 choice和name的位置关系十分的友好 其次get_input_n函数是可以溢出一位的 把choice覆盖为0就可以调用zion函数了 这里的name构造就有点像盲注了 首先把前面的单引号闭合，构造完整的printf语句 然后跟上/bin/sh 最后闭合后边的单引号 完整的name = “ ';/bin/sh;' ” 尽管运行后边的'\\n'会报错 但是这之前我们已经getshell了 本地打通 远程没打通 from pwn import * # io

this.$router.go(-1); // 返回上一个页面 this.$router.replace('/menu'); // 跳转到指定的路由 this.$router.replace({ name : 'menulink' }); // 通过name属性跳转到指定路由 this.$router.push('/about'); // 跳转到about, 最常用 导航守卫 全局守卫 router.beforeEach((to, from, next) => { // alert('还没有登录,请先登录'); // next(); //显示要去的页面 // console.log(to.path); if(to.path == '/login' || to.path == '/regist') { next(); } else { alert('还没有登录,请先登录'); next('login'); } }); 后置钩子 // 进入之后会触发这个 router.afterEach((to, from) => { console.log('jinrule'); }); 路由独享守卫 // 写在特定的路由中, 只针对特定的路由 // next(false) 不会正常跳转 { path : '/admin', component : Admin, beforeEnter : (to,