http请求头，按照每一步提示增加项

f12在调试器中查看project.js,搜索1999

http请求走私

和宝藏走私者一样的考点

主要加密流程如上，写出正向代码，然后对着逆

签到题，就是一个异或

简单的python字节码，对照官方文档写出源码，然后逆

这几道pwn题都非常有意思，虽然考的都是栈溢出、格式化字符串，但是都有一些有趣的细节

签到题，输入的是数字，要和一个字符串比较，相等就返回shell

通过调试发现字符串参与比较的其实是它的内存地址

那么我们直接输入这个地址就get shell了

week1压轴题，截至目前只有七解

保护全开

首先是要读源码，然后可以发现一个泄露点和一个溢出点和一处格式化字符串漏洞点

其中泄露点虽然不能溢出，但是可以由于printf的\x00才截断的性质，泄露出libc基址，然后调试的时候我们还发现，除了[rbp-0x8]处是canary的值，在栈中还残留着之前函数的canary值，由于canary在一次运行中都一样，所以我们也可以得到canary的值

溢出点就是栈溢出覆盖返回地址，ret2libc

这里的格式化字符串漏洞是个坑点，虽然存在，但经过反复调试发现触发它的条件永远不可能满足，浪费了我好多时间

泄露点+溢出点就可以打通了

然后还是要读源码，得到触发各个漏洞点的条件，也就是第几天要做固定的事

总体流程就是：

首先输入的世界线变化率要与初始世界线变化率的差值小于0.000001，这样我们就满足了 know_true

然后第一天要去神社寻找ibn5100，这样可以触发栈溢出漏洞

第二天和第五天要试试电话烤箱，这样就能够dmail回到第一天

随便挑选一天让桶子入侵SERN，在输入命令那里就是泄露点

所以就是，第一遍泄露出libc，dmail回到第一天，然后第二遍泄露canary，再dmail回到第一天，然后栈溢出ret2libc

要注意的几处细节是，系统环境为ubuntu20.04，其它版本调试时在栈上的libc的偏移会不同（刚开始一直没意识到，最后才反应过来我docker上是ubuntu18，起初怎么打都打不通，浪费了大半天时间），还有就是最后用libc的gadget时，要多一个ret，提高一下栈，使栈对齐

exp如下

保护全关

这道题的考点是atoi函数的漏洞，seccomp的过滤，栈溢出

由于atoi函数的漏洞，当我们输入-1时，既满足了小于15的条件，又让后面申请到的空间达到了0xffffffff，然后栈溢出到shellcode

刚开始因为看到保护全关，以为直接往bss段写system（sh）就行，打了几遍打不通才看到最开始的init函数有seccomp函数过滤，只允许使用write，read，open，那我们利用这三个函数写shellcode把flag内容读出来就行

开启了pie和NX

有栈溢出和格式化字符串漏洞

由于低3位不变的特性，我们栈溢出覆盖返回地址的最低字节就可以使其重复溢出

fmt泄露程序基址和libc基址

最后用onegadget打通

有一点坑人的就是，不知道为什么payload用flat拼接时会多增加了一个字节，所以我就不用flat直接拼接了

前面按流程走，卡人的点在base64解码后的处理，由于flag格式为hgame{}，所以可以看出}的位置错了，所以要用栅栏密码，这里还会卡人的点在栅栏之后还要逆序才能是正确的格式，最后凯撒密码解密

xor加密，密钥为16位，且为循环加密，有一个专门的工具可以解出密钥，xortool，xortool得出的密钥有两位字符错误，手动替换后解密多试几次

quipqiup在线网站词频分析就可以得出flag

依次base64，base32，base16

图片藏压缩包，第一层用爆破，第二层用明文攻击，第三层用伪加密，最后得出的编码是html编码

流量分析找到http，然后dump出图片

解压缩第一个文档，里面有个password.xml就是第二个文档的密码，第二个文档有隐藏字符，是个snow加密

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！