- 博客(13)
- 收藏
- 关注
RSS订阅原创 jarvis oj reverse Fibonacci writeup
这题之前也做过,不过卡了一下,现在再做,发现又会做了首先要先把加密的class从exe里面dump出来这里有个教程 http://reverseengineeringtips.blogspot.co.uk/2014/12/unpacking-jar2exe-21-extracting-jar.html因为这个版本是x64的,所以断点停的是dec r8d 停住之后,在内存那里查看...
2018-02-22 09:45:12
431
原创 jarvis oj pwn xwork writeup
这题没libc,因此利用起来比较麻烦,而且它还去掉了那些one_gadget首先漏洞很明显,可以use after free,所以可以进行fastbin attack,但是fastbin attack会检查size,所以只能控制某些地方的内存,但是之后怎么用呢? 想了半天,想出一个比较长的利用链,如果有其他比较简便的方法,欢迎交流!利用链如下: fastbin attack -> ...
2018-02-21 21:56:58
608
原创 jarvis oj pwn calc.exe writeup
这题其实难是难在代码比较多,要审计比较长时间首先checksec,发现没开NX,估计就是要用shellcode了然后审计了一波,粗略发现了两个漏洞 1. 没有检查calloc出来那几个堆是否满了,有可能会溢出到下一个堆,但是这里用不了,所以不详细说了 2. 使用var ,可以添加add sub等已经存在的函数,从而实现替代了函数功能的作用这里用的就是第二个漏洞 var add =...
2018-02-19 20:09:32
512
原创 jarvis oj reverse 病毒数据分析 writeup
这题之前做过,但是做到一半就放弃了,现在又回来做一下首先这题其实还是有点难度的我们先来分析下main函数部分,首先它做了反debug判断,获取父进程信息 其次它还判断了程序所在位置,过了这几个判断之后,获取当前时间作为seed给srand然后在注册表里面拿到文档所在的目录接着在目录里面搜索docx后缀的文件,将其加密之后发送出去在加密那里,它做了几件事 1. 生成8字节随机...
2018-02-19 09:33:38
412
原创 hackme inndy petbook writeup
这题一直没人做,感觉好像很难,其实是自己吓倒自己这题的漏洞其实很明显,就是没有初始化对象,所以可以控制新new出来的user的pet的地址和post的地址这里说下怎么控制·1. new一个比一个user大,即大于536字节的post 2. edit这个post,将这个post弄成更大的,这个时候realloc会把原来的堆给free掉,然后再new一个新的堆 3. 这个时候再new一...
2018-02-16 20:20:19
465
原创 hackme inndy reverse termvis writeup
这题其实还算简单首先分析下程序,估计是读取png里面的数据,然后打印出来一张图片,虽然根本看不到…….打印完图片之后,会执行藏在png里面的brainfuck代码,然后读取输入,再判断输入是否是flag看了下程序,本来想直接用qira神器一波带走的…..但是无奈内存不够,gg一波然后只好老老实实用gdb来调试断点很明显就要下在判断那里,地址是0x40671E首先输入c,跑个...
2018-02-13 22:44:15
369
原创 pwnable.kr fsb writeup
打完之后看了下别人的wp…..发现我的完全是邪道……(后面又仔细看了下,发现并没有太邪道,其实也是差不多 因为用ssh登录上去执行,所以可以把输出重定向一下 /dev/null 2>&1 这样就可以避免因为传输东西太多而卡死然后可以直接用下面payload%134520928c%14$n%20$n%134520932c%14$n%20$n之后就可以拿到一个sh...
2018-02-12 18:18:00
605
原创 pwnable.kr ascii_easy writeup
兜兜转转,又回来这里刷题这题讲真有点难度,虽然在实际比赛的时候比较少可能会出现这类题……..很明显可以用rop,但是rop链只能全部为ascii可见字符…..这就有点难度了这题其实我想了好几种办法,但是实际用了只有一种,不过在这里也说下利用rop链将ebx的值改为libc中got表的地址,然后跳转到one gadget 这个本来感觉是最快捷的办法,但是将gadget过滤掉一部分...
2018-02-12 14:40:23
1753
原创 34c3ctf SimpleGC writeup
看到这题,堆,难度标着是easy…..然而做起来真的感觉GG其实这道题的漏洞也挺明显的,edit_group那里没有检查下标,下标可以到group那里,然后就可以实现任意地址写但是想起来还是很麻烦的,想了半天才想到一种最快捷的办法先create_user 然后group的name最后8个字节为要任意写的地址然后delete这个user这个时候程序按顺序干了几件事 1. 将g...
2018-02-09 19:19:22
360
原创 sharif ctf pwn t00p_secrets writeup
这题在比赛的时候没做出来,现在回顾一下,发现其实漏洞挺多的,而且还挺好用的…..(打比赛的时候真的是当局者迷,旁观者清….漏洞:主要的漏洞有两个,两个漏洞都可以分别达到任意内存写,任意内存读的效果1. 堆off-by-one当选择字符串的类型的时候,会将读取的字符串后的那个字节置为0,当读取的字符完全占满malloc申请的内存之后,会将下一个堆的size的一个字节置为0...
2018-02-09 11:25:12
502
原创 codegate ctf reverse easy_serial writeup
这题拿到,拖进ida,看到ghc之后,我又想起了被haskell统治的恐惧……首先用hsdecomp来反编译一波,得到如下的代码s1b4_info = unpackCString# "abcdefghijklmnopqrstuvwxyz"loc_7172600 = I# 9s1bb_info = !! s1b5_info loc_7172488loc_7172488 = I#
2018-02-04 21:25:49
619
原创 sharif ctf pwn suctfdb writeup
这两天打了一下sharif ctf,比赛平台居然在打着打着的时候被墙……这题一拿到的时候真的一脸懵逼,python??? so???后面静下心来,仔细看了下,发现漏洞多得不得了。。。。其实主要内存操作都在so里面,所以结合着python代码和so来看就可以了因为这题可以任意写db的内容,所以可以实现,写任意地址,读任意地址,控制流劫持虽然有这么多东西,但是利用起来还是有点麻烦的
2018-02-04 20:17:31
623
原创 hackme inndy reverse rc87cipher writeup
话说这题真的挺难折腾出来的首先这个程序是有upx壳的但是这个壳被魔改了,关键的信息都被删除了,在google搜了半天linux upx upack 都找不到什么有用的信息有两条路,一条是修复关键信息,一条路是像windows那些程序那样手动脱壳脱下来两条路其实都试了一下,不过最终行得通的是第二条路这里说下第一条路,如果你们有兴趣的话,可以去试试首先作者把0xB4~0xB7处...
2018-02-01 11:14:10
611
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人