摘要:
随便做了下。 1 r()p 利用如下几个gadgets构造即可: # 控制rax后任意地址写 .text:000000000040115A mov rsi, rax ; buf .text:000000000040115D mov edx, dword ptr [rsp+18h+buf] ; nby 阅读全文
摘要:
House of apple 一种新的glibc中IO攻击方法 提出一种新的glibc中IO利用思路,暂且命名为house of apple。 本篇是house of apple系列的第一篇,即house of apple1,后续文章均发表在看雪论坛上,请点击 house of apple2 和 h 阅读全文
摘要:
2022DASCTF-Apr-X-FATE-pwn-wp 时间太仓促了,题目逆向的工作量有点大,远程还有不少毛病......一言难尽。下来把剩下几道题都复现一遍,wp持续更新中已写完收工。 小广告:解题脚本均使用我自己开发的工具pwncli编写,欢迎感兴趣的pwner师傅们试用~ 1 good_lu 阅读全文
摘要:
简介 有些题目很碎,直接搞一个合集吧,收录20个题目,大部分都是buuctf上面的,还有其他的题目。 hitcon_2018_hackergame_2018_calc 这道题主要的考点在于使用-0x80000000/-1时也会触发异常。另外,有些软件和很多编程语言提供交互式的shell,比如vi/v 阅读全文
摘要:
pwnable_fsb 总结 直接用scp从远程主机下载二进制文件分析,你会发现远程主机执行的实际是x64文件而不是x86,并且开启了PIE防护。 checksec 可以直接下载远程的libc和ld,然后patchelf。 漏洞点 附上远程主机上的源码: #include <stdio.h> #in 阅读全文
摘要:
pwnable_tiny_easy 总结 环境变量利用或者argv的利用。 checksec 带有suid。 漏洞点 调试发现,edx实际为argv0 利用思路 远程开启了ASLR,所以需要猜测下栈地址,不过由于是32位,所以猜对的概率还是很大的。远程有python,可以利用python来输入不可见 阅读全文
摘要:
pwnable_blukat 总结 直接把远程的源码和password下载下来然后修改一下逻辑即可获得flag。 EXP #include <stdio.h> #include <string.h> #include <stdlib.h> #include <fcntl.h> char flag[1 阅读全文
摘要:
pwnable_babystack 总结 也不算太baby,很有意思的一道题。 checksec 远程为libc-2.23.so。 漏洞点 在check_passwd分支: 然后在后面的strcpy可以溢出 利用思路 最后返回时候存在对key的检查,所以需要爆破出key。同时,key对应的位置也有残 阅读全文
摘要:
shanghai2018_memo_server 总结 多线程条件竞争,经调试分析与阅读源码,总结在多线程下释放tcache管理大小范围内的堆块的时候,流程大概如下: 线程申请tcache_perthread_struct结构体,这里会使用mmap申请 将堆块释放到线程对应的tcache bins中 阅读全文
摘要:
shadow_mna_2016 总结 自定义了一套函数调用流程,手动模拟了push/pop/call/ret等。分析清楚每个指令的实现后,即可利用栈上的变量进行利用。 checksec 远程环境不影响。 漏洞点 这里直接看汇编,更容易发现漏洞点。在message函数中: 这里要输入name的时候,直 阅读全文