- 博客(12)
- 收藏
- 关注
RSS订阅
原创 lctf2017_2ze4u_reproduce
lctf2017_2ze4u_reproduce概述保护全开,libc-2.23漏洞点在 uaf不过这题有个地方很烦,就是读和写都是从 chunk_data 的地址开始,所以需要各种方法去绕过这题主要就是利用伪造 bk_nextsize 的 largebin_attack,实现任意地址申请,然后进行 overlap还有就是修改 top 指针,使其指向 free_hook,最后申请出来改成 system,实现getshell利用过程堆布局# 布局要注意 \x00 和 consolidate
2022-02-24 14:22:34
326
原创 0ctf2018_heapstorm2_reproduce
0ctf2018_heapstorm2_reproduce概述打了好久,学到很多保护全开,libc-2.24漏洞点在 off-by-one,打法是利用 off-by-one 缩小 chunk 进行 unlink 然后就可以实现类似 uaf 的 overlap,是 unlink 的一部分,又是还能用的这种 overlap有了 overlap 就能实现 house of storm,也就是同时伪造 large_bin 的 bk_nextsize 和 bk 与 unsorted_bin 的 bk,实现
2022-02-23 19:06:29
376
原创 攻防世界pwn高手区stack2 lea调整栈帧导致偏移错误
Stack2这题废话很多,说白了就一个数组越界的漏洞可以利用,没有对下标v5做限定,所以可以利用数组越界,直接越过canary,利用留下的后门getshell刚开始看ida以为位移是0x74所以exp如下from pwn import *p = remote('111.200.241.244', '50928')# p = process("./stack2")# context.log_level = 'debug'hackhere = [0x9b, 0x85, 0x04, 0x08
2021-10-14 13:53:59
1817
3
原创 格式字符串漏洞之任意地址覆盖大数字
格式化字符串漏洞覆盖大数字时,如果选择一次性输出大数字个字节来进行覆盖,会很久很久,或者直接报错中断,所以来搞个攻防世界高手区的题目来总结一下pwn高手区,实时数据监测这道题,就是格式化字符串漏洞覆盖大数字题目运行时会直接告诉你key的地址,我们只需要利用imagemagic中的printf利用格式化字符串漏洞来覆盖就行了,但就像刚才说的,直接覆盖时间太久了而且会报错,所以可以想想别的办法如果我们想覆盖key为0x02223322,那么根据小端存储,在内存中就是\x22 \x33 \x22 \x0
2021-10-13 16:37:25
3157
2
原创 蒸米ROP_X64学习总结
X86与X64x86中参数都是存在栈上,但在x64中的前六个参数依次存在RDI,RSI,RDX,RCX,R8、R9中,如果还有更多的参数的话才会存在栈上level3(ROP简单绕过NX)发现有栈溢出找到system(/bin/sh)把这个函数写入栈中就ok了 exp如下#!/usr/bin/env python3from pwn import *p = process("./level3")payload = b"a" * 136 + p64(0x0000000000400584)
2021-10-09 20:37:45
2057
1
原创 蒸米ROP_X86学习总结
蒸米的相关附件感兴趣自行下载学了点蒸米的ROP笔记,自己来写个总结ROP是啥全称为Return-oriented programming,核心是利用ret指令控制执行顺序,作为一种高级的攻击内存的技术,可以绕过各种简单防御关于X86level1(栈上写入shellcode)Linux系统的ASLR会使内存里的地址随机化,可以先关掉sudo -secho 0 > /proc/sys/kernel/randomize_va_spaceexitida打开会发现有个read函数可以进行
2021-10-08 21:00:03
445
1
原创 攻防世界 pwn新手区 wp
get-shell此题是经典入门题,没有设置任何漏洞,直接给了shell直接nc连上,然后ls,最后cat flag即可hello_pwn发现只要让dword_60106C == 1853186401就可以拿到flagread函数将把数据读入unk_601068中,要想办法让数据覆盖到dword_60106C,所以查看两个数据内存计算距离为4,写个exp即可from pwn import *p = remote('111.200.241.244', '56851')p.recvu
2021-10-07 21:16:22
541
1
原创 2020syc二面总结
拿到题目用die扫一下然后拖入32位ida看看发现有很多函数,不知道关键函数在哪,shift+f12看看找到关键语句进去看看结果发现有花指令,全是jx +1 jx+1的这种结构对着跳转的位置按D转换成数据,然后把花指令nop掉,然后再把数据C一下转换成代码,最后P一下创建函数就可以了后面的jx +1 jx+1 这样的花指令都是这样做然后就可以f5看伪代码了但有个地方堆栈不平衡要手动改一下改完之后再去看伪代码发现这题要两个flag先搞第一个找到加密算法部分,发现是把 is f
2021-09-27 23:13:26
377
2
原创 moectf chall 数独题 z3约束器求解
这是一道数独题第一次碰见想写一下wp此题是2021moectf的题目拖入ida看看cheak123是关键函数分别进去看看cheak1 判断每一横排的数字为1-9不重复cheak2 判断每一竖排的数字为1-9不重复cheak3 判断九宫格里的数字为1-9且不重复然后知道这是一道数独, 如下box = [0x00, 0x00, 0x05, 0x00, 0x00, 0x04, 0x03, 0x06, 0x00, 0x00, 0x00, 0x00, 0x00, 0x05, 0
2021-09-27 09:24:43
300
原创 关于pycdc的安装
sudo apt install git #安装gitgit clone https://github.com/zrax/pycdc.git #下载pycdc到桌面sudo apt install cmake #安装cmakecd pycdc #进入到pycdc的目录cmake .make #安装pycdc工具我第一次装报了The CXX compiler identification is unknown的错,搞了半天,其实只要装个g++就行了sudo apt-get update
2021-09-26 16:54:10
3267
原创 Easy_re 手撸pyc字节码
拿到文件,先用工具扫一下9u0xu3ha0推测是用pyinstaller打包pyc成exe所以要将python的exe反编译先使用pyinstxtractor.py反编译exe就行把pyinstxtractor.py和main.exe放在同一文件夹下,然后用命令python pyinstxtractor.py main.exe即可得到main.exe_extracted文件夹打开后找到main.pyc和struct.pyc,分别用010Editor打开发现main前十六个字节有问题,复制
2021-09-26 16:33:30
1153
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人