CTF
文章平均质量分 89
Red-Leaves
这个作者很懒,什么都没留下…
展开
-
[Litctf 2024] Pwn WP 全部题目
劫持 __malloc_hook 打 one_gadget。使用 realloc 调整栈帧。原创 2024-06-03 20:28:40 · 711 阅读 · 0 评论 -
深入理解 House of Cat
exit() --> __run_exit_handlers --> _IO_cleanup --> _IO_flush_all_lockp --> _IO_wfile_seekoff --> _IO_switch_to_wget_mode --> _IO_switch_to_wget_mode 的 call rax。当RCX为0时,程序进入了这段 if 语句。_wide_data 指向的 _IO_FILE 结构体的 _IO_write_ptr 必须大于 _IO_write_base,mode 大于0。原创 2024-05-16 13:00:36 · 806 阅读 · 0 评论 -
Pwn Unlink堆攻击技术原理以及例题
现在有这么三个chunk,其中我们已经构造好了Unlink的Payload。乍一看可能有点一头雾水,那么如果我们把这段看成一个chunk结构体呢?反之,另一个也是这个道理。glibc 2.23中的unlink宏源码是这样的。,这段恰好满足我们的unlink需求。,也就是我们的fake_chunk。,我们直接查看这个fd指向了哪里。,P是fake_chunk,也就是。这题的堆块指针位于bss段内,是。P是fake_chunk,即可获得我们的fd和bk。complete,或者说。指向的都是同一个地方。原创 2023-12-17 13:13:35 · 1020 阅读 · 0 评论 -
CISCN SilverWolf
我们将 __free_hook 劫持到 setcontext + 53 以获取需要的函数片段。在这一步之后,我们的 free 将执行 setcontext。二:通过将 free 劫持到 setcontext,RDI 保持其本应执行的操作。之后我们释放堆,由于我们修改目前已存在7个Tcache堆块,我们的堆块会被放入Unsorted Bin中。在这之后,我们可以在需要时调用我们的open函数。记得要恢复这部分,因为我们需要使用Tcache来进行后续的攻击。的地方申请堆块,我们就成功劫持到了这个结构体。原创 2023-12-13 20:08:23 · 1088 阅读 · 0 评论 -
浅入研究 tcache_perthread_struct
tcache_pertherad_struct结构体初探原创 2023-12-13 18:28:40 · 1026 阅读 · 2 评论 -
在Pwn中,为什么时长需要栈对齐?
在 Pwn 的学习中,对于初学者常常会遇到这个问题:找到了溢出点,并且知道如何溢出,但是不知道为什么自己的Payload并没有成功,Pwntools报错EOF:今天趁着有时间,来仔细研究一下为什么会发生这种情况。原创 2023-12-07 20:00:30 · 1006 阅读 · 0 评论 -
LitCTF 2023 WriteUp(部分)
迄今为止做出来题目最多的比赛,不过嘛新生赛,加油。原创 2023-05-17 00:16:39 · 1818 阅读 · 1 评论