has_zaoganmaqule的博客

目录前言LIT 2024。

题目链接，

调用 `printf` 函数，`bl` 指令用于分支并链接，保存返回地址到链接寄存器 `lr`。- 将 `r4`, `r11`, 和 `lr` 寄存器的值压入栈中，用于保存函数调用前的状态。- 将 `r3` 的值（0）存储到 `r11` 指向的位置的偏移量 -16 处。- 如果 `r2` 和 `r3` 不相等，跳转到 `0x8da8` 地址处。- 调用 `scanf` 函数，`r0` 和 `r1` 作为参数传递。- 从 `r11` 指向的位置的偏移量 -16 处加载值到 `r3`。

rctf2018_babyheap的类似题

add(0xf0,7,'B')#此chunk需要和前面的chunk大小保持一直add(0xf0,9,'B')#此chunk的大小至少为0xf0，因为off-by-null会将低位修改为0。delete(i)delete(7)delete(8)add(0x18,8,b'a'*0x10 + p64(0x120))#制造假chunk头，0x120为前面序号为7和8的chunk大小和，把 序号为9的chunk的pre_size位修改为0x100delete(9)#堆向前合并掉序号为8的chunk。

imaginaryctf-imgstore

看了眼wp，很奇怪不知道为什么要改__malloc_hook为__realloc_hook，改__realloc_hook为one_gadget？我记得我之前看b站roderickchan✌的视频的时候，提到了one_gadget的利用问题，他说有时候可能你程序当时的堆栈不满足条件，但是没关系可以在one_gadget附件找一找也可能getshell。的一段非常有用的gadget。在我们能控制程序执行流的时候，直接执行到onegadget的地址，并且满足onegadget的条件，便可直接getshell。

这题目我是在ctfshow里面看到的，因为ctfshow给的wp真的太抽象了。所以我就搜了搜，找到了原题，但我看别人写的都不是很好。所以后面自己尝试pwn成功了。首先查看保护全开是吧！！！放神的武器ida里面看看main函数一眼，菜单题cadd函数就很正常，调用calloc函数来申请堆块。（calloc函数和malloc函数的区别就是是否进行初始化，虽然calloc初始化看着更安全点，但是性能特别慢，而且在实际环境中好多变量都不需要进行初始化）

关于通过unsortbins来找libc_base

之前找专业学长买的ctfshow的pwn题目，在学校的时候把栈方面打完了。因为本人是个懒猪所以一拖再拖，也就留到了现在。前面几个heap题目比较简单等我有时间在写。首先我们得了解什么是Tcache？Tcache（Thread Cache）是glibc从２.２６版本开始引入得一个特性，旨在提升内存分配性能。学过机组得都知道这个就是哪个缓存，一般计算机在读取数据的时候有好几层缓存。但这也加大了对堆攻击的难度。

问了问chatgpt，得到了准确的答案。我也学习到了，io流和标准输入流的缓冲区不一样。可以先思考思考为啥？学弟问的问题，明显就是没有做好交互，但为啥会一起发送呢？猜测会不会是scanf和read的缓冲区不一样呢？突然来了点思路，但还是不确定，不如自己去写过c程序试试呗。结合scanf遇到空格符会停下，我构造payload。可以看到换行符后面的内容也读入进去了。我去网上找了找相关知识，下次还是要做好交互吧！

使用.encode("base64")在python3中会报错。b64encode函数的参数为byte类型，而python3中字符都是unicode编码，所以在进行base64编码之前必须先转码。base64生成的编码都是ascii字符。AttributeError: 'bytes' object has no attribute 'encode'是：“字节”对象没有属性的编码的意思。很明显，是编码格式的问题。解一般的pwn题目的方式。

Web安全 Cookie注入 RCE漏洞