undefined

摘要： V-table 手挖io链子 正常的链子 exit_handler() -> io_flush_all() -> io_overflow() -> io_do_write() 我们修改vtable，使得调用overflow变成调用file_finish，正常的finish链子 exit_handle 阅读全文

摘要： I like C++ 114514后门选项，里面会设置一个函数指针，其中偏移3的地方为后门函数 里面有一个scanf("%s")，裸的栈溢出，还有格式化字符串 条件是拿到堆地址，只要我们输入的地址和它的堆地址一样就能触发 exchange里有个浅拷贝，会free对象并导致leak 最终exp fro 阅读全文

摘要： [极客大挑战 2019]EasySQL 使用 1' or '1' = '1' #绕过sql 注意sql中的等于是=，不等于是<>或!= [极客大挑战 2019]Havefun 在源代码中的注释中找到提示 用$cat=dog获得flag [HCTF 2018]WarmUp 在源代码中的注释找到提示 进 阅读全文

摘要： POSTBOX PostScript下存在格式化字符串漏洞，具体分析如下 //unsigned __int64 __fastcall PostScript(_DWORD *a1, int *len) while ( *a1 ) //注意到这里解了个指针 //一般变量都是直接存储值，这个不一样也相当于 阅读全文

摘要： afl-sandbox 不知道预期解是什么，但是侧信道了 程序执行我们的shellcode，如果崩溃会根据不同的signal把信息告诉给我们 （复盘的时候想起来，如果exit不同的值是不是也会告诉我们？ （但是这么搞这题就没什么意思了，要是沙箱才有意思呢 用ud2、段错误和正常退出构造出三种不同的状 阅读全文

摘要： 你好哇，除了一个混杂了misc的pwn没写，其他的思路和writeup都写在这里了 题目总体还是偏基础的，如果不懂可以exp+gdb调调看。 浅红欺醉粉，肯信有江梅 天哪好花哨的名字 输入nc balabala就有shell啦，然后愉快地ls cat flag便可 cat 主函数里有一个危险的get 阅读全文

摘要： nailong int -> uint 如果输入负数就可以绕过“太高了” 接下来0是读，1是写，程序开头给了栈地址 虽然用time0加随机数了，但是只要我们本地也同样跑个time0就可以生成一样的随机数 分别把几个变量写掉后弄出任意读写原语后写orw即可 exp: from pwn import * 阅读全文

摘要： test my skin!!! test skin!!! test skin!!! test skin!!! test skin!!! test skin!!! oh skin!!! 阅读全文