狒猩橙

摘要： 一些零碎的东西 栈迁移 0x7ff5a2911dea <svcudp_reply+26>: mov rbp,QWORD PTR [rdi+0x48] 0x7ff5a2911dee <svcudp_reply+30>: mov rax,QWORD PTR [rbp+0x18] 0x7ff5a2911d 阅读全文

摘要： 2022强网拟态 only 比赛的时候没做得出来，赛后复现一下。只有一次double free的机会，好在用的是seccomp开的沙盒，使得一开始就有很多空闲堆块，里面也残留有libc指针，通过堆风水去打stdout泄露libc，然后劫持__free_hook进行栈迁移即可。 exp: from p 阅读全文

摘要： 2022祥云杯 leak 今年VNCTF的时候碰到过一种写法，方式不会，没写的出来。没想到这次祥云杯leak这题可以用那种写法写，但是我依旧比赛时没写出来。赛后记录一下。 主要是利用house of corrosion打strerr + house of kiwi触发IO，这题不用kiwi直接用ex 阅读全文

摘要： TR-069协议学习记录 TR-069协议概念 CWMP(CPE WAN Management Protocol，CPE广域网管理协议)，编号为TR-069，故又被称为TR-069协议。 TR-069协议的应用 TR-069协议提供了对下一代网络中家庭网络设备进行管理配置的通用框架、消息规范、管理方 阅读全文

摘要： 1.2.2 musl pwn 几个结构 __malloc_context（与glibc中的main_arena类似） struct malloc_context { uint64_t secret; #ifndef PAGESIZE size_t pagesize; #endif int init_ 阅读全文

摘要： 利用msg_msg实现任意地址读写 msgsnd和msgrcv的源码分析 内核通过msgsnd和msgrcv来进行IPC通信。内核消息分为两个部分，一个是消息头msg_msg(0x30)，以及后面跟着的消息数据。整个内核消息的长度是从kmalloc-64到kmalloc-4096`。 /* one 阅读全文

摘要： 利用ldt_struct 与 modify_ldt 系统调用实现任意地址读写 ldt_struct与modify_ldt系统调用的介绍 ldt_struct ldt是局部段描述符表，里面存放的是进程的段描述符，段寄存器里存放的段选择子便是段描述符表中段描述符的索引。和ldt有关的结构体是ldt_st 阅读全文

摘要： 利用userfaultfd + setxattr堆占位 很久之前便看到过这个技术的名字，但是由于自己的摆烂，一直没有管。今天终于找到时间好好看一下这个技术的利用方式。利用userfaultfd + setxattr算是内核里一种比较通用的利用技术，在实际场景中通常和堆喷射技术结合起来。但是在某些CT 阅读全文

摘要： 2022CISCN-satool 打国赛的时候自己还并不了解LLVM PASS pwn，前几天正好学习了一下LLVM PASS pwn，于是就顺便来复现一下这道题目。 首先找到二进制文件的重写函数的主体并对其进行分析。 开始就是限制了函数的参数和基本块的个数必须为1。 然后是先把一块区域变成可写可执 阅读全文

摘要： 条件竞争 && pipe_buffer + 堆喷射 条件竞争往往发生在开了多线程的程序中，常因为没有对全局函数，数据加锁，导致多线程可以同时对其访问篡改，而引发的漏洞。 例题：WCTF2018-klist 我们通过这一道题来学习一下条件竞争以及pipe_buffer + 堆喷射的使用。 这个程序维护 阅读全文