fheap

摘要： hitcon_ctf_2019_one_punch 保护全开，ida打开，libc版本为2.29 删除功能存在uaf from pwn import * context(os = "linux", arch = "amd64")#,log_level= "debug") context.termin 阅读全文

摘要： bcloud_bctf_2016 32位，ida打开，菜单堆题，只有增加删除修改功能，在选择功能之前会让我们输入名字，且会把我们输入的名字打印出来，这里写满的话会把第一个堆块的指针地址泄露出来（尝试）， 下图通过strcpy可以造成堆溢出，我们用来修改topchunk的size进行house of 阅读全文

摘要： 1、护网杯_2018_gettingstart 64位，RELRO半开，Canary，NX，PIE全开 就是普通栈溢出 Exp： from struct import pack from LibcSearcher import * from pwn import * #context(os='lin 阅读全文

摘要： 1、[SWPUCTF 2021 新生赛]nc签到 附件打开，禁用了cat、ls、cd、echo、<${IFS} 解法一，用l\s,或者l's' 后c\at$IFS$9flag $IFS$9相当于空格 解法二，输入bash，再直接cat flag 2、[SWPUCTF 2021 新生赛]gift_pw 阅读全文

摘要： 1、ciscn_2019_n_3 32位，RELRO半开，Canary开了，NX开了，ida打开看看，libc是2.27，有tcache from pwn import * from LibcSearcher import * from struct import pack from ctypes 阅读全文

摘要： 1、babyheap_0ctf_2017 保护全开，64位，动态链接，ida打开，菜单堆题 输入1分配堆块，分析sub_D48函数 chunk的指针指向堆块缓冲区的，输入2进入fill函数的调用，对修改的chunk大小无限制，则可以造成堆溢出 之后看看Free的操作，也就是sub_F50函数，正常， 阅读全文

摘要： 1、test_your_nc 2、Rip 日常检查 延迟绑定可以ret2libc3 有可写可读可执行段 后门函数system(”/bin/sh”) gets()函数栈溢出 动态调试一下 pwngdb 的b 步过到gets()函数处输入几个a，根据下方动调知到偏移为15个字节 ，后要加个a*8覆盖rb 阅读全文