随笔分类 - 需要再次检查的ctf题
摘要:这个题是heap与stack over相互结合的,第一次写 谢谢ha1vk师傅的博客 问题: 1.要在栈上获取stack地址如何获得? __erviron变量存储了程序的环境变量,所以也有栈的基址可以看看这个师傅的文章 学到的知识 在stack上伪造chunk,所以只要内存有rw权限,岂不是都可以进
阅读全文
摘要:写shellcode,由于我还没开始写反汇编引擎,所以直接去百度了下 把提权函数给ban了,所以只能直接读取flag,看了下pwnki师傅的博客 学到了shellcraft的新花样,有意思 from pwn import * #p=process('./orw') p=remote('node3.b
阅读全文
摘要:这是一道非常典型的vtable了,整个getshell的利用手法几乎是我目前会的所有的技巧了,不过还是看了p1ay2win师傅的博客才会写的 流程分析 add函数填入大小和内容,并且有off-by-null,有off-by-null很容易想到overlap edit函数,这个函数可以对任意位置进行读
阅读全文
摘要:过两天在来写一遍 流程分析 add函数,这里打印了堆的后12位地址 edit函数,取最后4位作为下标,但由于有17个所以这里有逻辑漏洞 delete函数,同上,逻辑漏洞 思路 由于有逻辑漏洞,所以只要我们将16申请到一个特别的地址,这样我们就可以使地址的值加0x10,所以经过调试我们很容易发现,只要
阅读全文
摘要:这道题明天写吧,今天没什么时间,所以先做下简单的介绍 拟态防御题型pwn&web初探拟态防御型Pwn题做题思路总结 在ctf中所谓的拟态题就是同样的功能,不同的架构,当你输入一个的时候,会把你的输入放在两个不同架构里尝试 所以先简单的说一下思路 思路 这道题如果是很简单的话,应该是接rop chai
阅读全文
摘要:这道题的知识点在wiki上force,就是说把top chunk的size改为-1,并且需要知道top chunk的位置,在进行一次malloc,直接将堆分配到你想写入地址的地方(这里的one_gadget需要平衡栈帧,使栈帧满足one_gadget的环境,可以看这位师傅的博客和这位师傅的博客) 静
阅读全文
摘要:这道题有点难,第一次遇见这种题目,看了pwnki师傅博客,还看了pwnki师傅博客下的3个师傅博客 https://www.cnblogs.com/luoleqi/p/13415667.html 利用 _IO_2_1_stdout_ 泄露信息 railgun_探究利用_IO_2_1_stdout_
阅读全文
摘要:看了pwnki师傅的博客,才明白这个题怎么写的,所以先只说下思路 前置知识 在程序加了 carry 保护后,如果我们的输入覆盖了 carry ,程序就会报错,而报错代码如下: void __attribute__ ((noreturn)) __stack_chk_fail (void) { __fo
阅读全文
摘要:这道题看了pwn_ki师傅的博客园,才知道一些calloc和tache的机制 exp就没放了 直接去看pwnki师傅的把 前置知识点 calloc 有以下特性 不会分配 tcache chunk 中的 chunk 。 tcache 有以下特性 在分配 fastbin 中的 chunk 时若还有其他相
阅读全文
摘要:最近队里队长给了我一个入队测试题,结果一看就是vm,吓得我赶紧去看了一个vm的例题,看完后,又来看这道题,把我折磨的有点怀疑人生了,目前还没写完,记录下写题的过程 程序分析 首先大致看一下我的分析 __int64 __fastcall main(__int64 a1, char **a2, char
阅读全文
摘要:总结 心得总结 一个月过去了,11月份一直在努力的刷题,总的来说,提升感觉不是很大,还是一直在模仿着刷题,一碰到新知识就不太会了,代码审计也明白自己不足,可这个月一直想把代码审计过关,但还是没过关,很郁闷,有时候和一些天才相比,我这种普通人确实显得有点愚钝了。不过11月份也不全是坏事,至少堆入门了,
阅读全文
摘要:这道题很简单,不过由于数字太大了 所以需要等很久。直接上exp吧 from pwn import * #p=process('./pwn') p=remote('220.249.52.134',54140) key_value=0x2223322 ##offset 0xc key=0x804a048
阅读全文
摘要:理论 最近看了i春秋的pwn入门的stack pivot发现这里面的很多细节都不知道,写下博客证明自己学过 在某些时候,我们有时会因为栈开了ASLR,而导致就算可以控制ip寄存器也无法把其调到指定位置,所以stack pivot可以做到与这种技术抗衡,因为这种技术可以把栈迁移到全局变量上,这样我们就
阅读全文
摘要:https://www.cnblogs.com/lemon629/p/13842163.html这个师傅的写的很好 安全检查 没贴图了,保护全开 流程分析 程序总体来看是个菜单题,不过都是delete没什么问题,有问题的主要是输入函数 程序首先会分配一块mmap的内存出来,并且有rxz权限 在edi
阅读全文
摘要:这道题本来我的想法是off-by-null来合并堆的,可是写到一半,发现自己过度依赖wp了,所以有点写不出,但看完别人wp后,准备过几天自行复现 还有一种是unlink方法,这种比较巧妙,虽然我想到18也可以unlink但我觉得没必要,所以没往深的想了,所以下次写题需要大胆的去想,然后在写出题目来
阅读全文
摘要:现在写题,感觉一道题看了5分钟没思路就想看wp。。。得等这段时间忙完后,改一下这个毛病了。。 这是我第一次接触写shellcode题,感触挺大的,原来逆向的攻防和pwn的攻防是没很大差别的(其实以前就感觉到了,毕竟都是劫持) 流程分析 流程还挺简单的,就是让你输入一段shellcode然后通过它的检
阅读全文
摘要:第一次学习,简单记录一下思路 程序流程 程序会让你先输入一个地址,在往这个地址里面输入值 看了wiki上面说,exit执行时,会遍历_IO_list_all,然后调用_IO_2_1_stdout_ 下的vtable中_setbuf函数 所以我们可以hook _setbuf这个函数 不过在wiki看到
阅读全文
摘要:由于有一阵子很久没学pwn了,所以一直咕咕咕,最近看了下这道题,然后看完wp后,感觉又复习了一遍这些 简单的记录一下思路 流程分析 程序很简单,一下就可以知道在干嘛,并且漏洞点也可以知道 漏洞利用 经过测试参数偏移为6 通过简单的格式化字符串漏洞,将printf函数的地址输入进去,在泄露出来 在把p
阅读全文
摘要:系统的安全检查 这道题是纯看别人的wp的,所以这里只记录思路,exp到时候会自己在去复现一下,写出来的 安全检查 流程分析 add函数里面有一个null-by-one溢出,其他的都很正常 漏洞利用 通过申请chunk0,1,2其中1和2需要在tache外,也就是大于0x300,先把0和1释放掉 然后
阅读全文
摘要:这道题是个盲打,然后被复现为有源文件的题目,不过被复现后,还是非常有意思的 盲打
阅读全文
浙公网安备 33010602011771号