![](https://img-blog.csdnimg.cn/20201014180756926.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
PWN
文章平均质量分 71
坚强的女程序员
这个作者很懒,什么都没留下…
展开
-
2016 hctf fheap
2016 hctf fheap前言好久没写东西了,本想着简单记录一下,不过在做这题的时候,弄懂了之前困扰许多的问题,所以就多写一些吧,在此感谢俺的女票@曙雀UAFIDA分析后,得到数据结构如下。note:00000000 note struc ; (sizeof=0x20, mappedto_9)00000000 content_ptr dq ?00000008 field_8 dq ?00000010 str_size dd ?原创 2021-06-10 13:41:31 · 446 阅读 · 0 评论 -
XMAN【x天】main
前言很揪心,一直想着用dl_resolve解决,不过好麻烦,不仅要读还要写,还需要泄露地址,不如rop简单。 而且了解到libc中execve('/bin/sh\x00')的操作,不过由于题目没有setbuf导致,所以缓冲区就好乱,本地能通,远程却大不了。代码from pwn import*import roputilsdef attack_remote_rop2():...原创 2018-08-12 13:10:07 · 441 阅读 · 0 评论 -
XMAN【第x+2天】IO_FILE
前言很简单的题目,只是因为不了解文件结构,也就没做出来。过程基本上和讲师给的例题是一样的(可是那天我没来),比赛的时候郁闷,百度了多久的资料(我还翻出了一年前写的fsp的文章,表示已经看不懂了-。-),好多IO_FILE都是和堆结合在一起,原理虽然看明白了,但是到了也没弄明白这个fake_file该怎么构造偏移是多少??而且比较难受的是我本地是ubuntu 1804,好像用不了,调了好...原创 2018-08-11 13:30:36 · 248 阅读 · 0 评论 -
小白详解rop emporium
小白详解rop emporium前言rop emporium网站上提供了许多构造rop的challenge,作为小白的我从这里开始,专注于rop链的构造。 ps:写完放了好久结果没投出去,我好菜啊-。-题目0x0ret2win32IDA打开,很容易找到溢出点char s; // [esp+0h][ebp-28h]可以看出s距ebp的偏移为0x28m...原创 2018-08-02 09:36:36 · 2087 阅读 · 1 评论 -
XMAN【第x+1天】ret2dl-resolve
前言见到了swing大佬,贼帅-。- 认识了angr的contributor ! 装回了旧版的angr以前的example终于都能用了 不过今天讲的好像都蛮抽象的,fal-fuzz 到底咋用??正文今儿纠结 dl-resolve了一天,明明构造的很好了,就是报错,不得其解。然后对照着exp试着把偏移加大..还就没问题了。。got表在IDA中看明明是可读写的撒??gdb调源码这个操...原创 2018-08-10 02:19:06 · 559 阅读 · 0 评论 -
怎样编写shellcode以及验证其功能
前言言简意赅的记录一下。编写汇编global _startsection .text_start: push 59 pop rax cdq push rdx mov rbx,0x68732f6e69622f2f push rbx push rsp pop rdi push rdx push rdi...原创 2018-06-23 08:47:13 · 845 阅读 · 0 评论 -
checksec及其包含的保护机制
转载自 http://yunnigu.dropsec.xyz/2016/10/08/checksec%E5%8F%8A%E5%85%B6%E5%8C%85%E5%90%AB%E7%9A%84%E4%BF%9D%E6%8A%A4%E6%9C%BA%E5%88%B6/前言虽然现在不做pwn了,但是这些个保护机制,有时候还是需要了解的。为了省去查找的麻烦。再次做个记录。 ...转载 2018-05-11 11:38:44 · 2236 阅读 · 0 评论 -
CTF之堆溢出-unlink原理探究
来干!来干! 转战堆溢出,这东东确实接触的很少,听说很神奇很细腻。我也是初次接触就和大家一起共同学习下,也填补下这方面的空白。 https://sploitfun.wordpress.com/2015/02/26/heap-overflow-using-unlink/这篇文章讲的就是堆溢出的原理,不过全是英文,估计。。。慢慢看,不急。我就结合着它给的示例程序来分析下原理,以及如何利用堆溢出。原创 2017-06-12 23:45:14 · 10295 阅读 · 13 评论 -
CTF-PWN之fsp-utilize漏洞利用
写在前面:总结一下这次比赛的收获吧。其他方面的收获就不多说了。主要还是说说比赛的事。总共20道题也就一题是pwn..一开始不会做,经过师傅的点播之后,最终拿到shell。这道题就是一个很小的一个知识点,不过真佩服师傅老人家,咔!咔!咔!不到20分钟就做完了。贼溜!上题!!! 老规矩。先检查(其实无所谓啦,这几步是必做的工作)。 看到这个就要兴奋一下了。几乎啥保护都没开。直接溢出整段shel原创 2017-06-11 23:35:08 · 669 阅读 · 0 评论 -
CTF-浅尝64位栈溢出PWN
干了一早上终于把这道’难题’做出来了,实在是不容易。头一次完完全全的做出64位的pwn题,如果就栈溢出来说的话,其实感觉和32位的也差不多。至少这方面没有遇到太大的困难,做64位的题对汇编指令的要求就更高了。正好一边做题,一边多学点汇编。 收获是很大的。正文刚开始被一个逻辑漏洞cmp给卡着,一直没有跳到真正产生漏洞的地方,好不容易跳过去了,结果被我自己坑了(写脚本的时候,没有考虑缓冲区的影响,经常原创 2017-06-04 14:51:06 · 11129 阅读 · 0 评论 -
CTF数组越界漏洞内存布局简析
今天为大家带来一篇关于数组越界漏洞原理的分析,并且结合CTF中的实例给大家讲解下。由于自己也是第一次接触,如若有不到位的地方,还希望各位评论补充我会及时的改正。总体来说数组越界其实和栈溢出差不多。。。 推荐一篇文章 http://blog.csdn.net/human_evolution/article/details/40752047基本上把数组越界的原理给讲清楚了。在这里呢,我主要是结合原创 2017-06-03 13:37:02 · 1803 阅读 · 0 评论 -
0CTF-EasiestPrintf真的很easy
这次给大家带来的是0CTF中的一题EasiestPrintf。废话不多说,直接上题。 可以看到开了很多保护。其中full relro说明got表不可修改。(我也是看别人写的,没有实践过,大家可以试着去改下got表) 前面的老套路就不说了。 IDA查看反汇编。 漏洞就在这两个函数里,而且都是格式化字符串漏洞。 但是有一点我们可以观察到,在第二个printf之后直接调用原创 2017-06-17 14:52:01 · 2493 阅读 · 0 评论 -
CTF-ECHO-200格式化字符串漏洞+shellcode
很开心有成功做了一道格式化字符串,这题我也不清楚是哪次比赛上的,漏洞还是十分的明显,格式化加个shellcode直接搞定。就是这算的比较麻烦一点。 那么直接进入正题咯! 开干!! 首先拿checksec检查一遍(个人习惯哈) 可以看到,开了栈保护,但是NX disabled,说明堆栈可执行,直接上shellcode,也没有PIE。 先试试水。 应该有格式化漏洞。 IDA反汇原创 2017-06-01 13:20:41 · 2279 阅读 · 0 评论 -
ssctf-pwn2从此入坑不在起
说来惭愧,做了这么就才终于将这道简单的栈溢出做出来了。而且还是在师傅的多次帮助下。找了一天的漏洞。刚开始一直以为第一个scanf上有栈溢出,结果怎么调也调不出来,最后在师傅的指引下找到了溢出点,最终成功shell 。这是一个悲伤的故事。好多的基础的东西都忘光了。连linux_server需要使用root权限运行都忘了。其实找到漏洞之后,后面的事情就变得简单了。但是对于我这种新手来说,在简单的事情也原创 2017-05-30 05:09:36 · 1248 阅读 · 0 评论 -
ISCC之pwn1格式化字符串漏洞详解!
作为小白的我,自从入了ctf的坑就再也没爬起来过,从无到有实在是很辛苦。仅以此片纪念我的青春。 直接进入正题。这是个很明显的32位的格式化字符串漏洞。上手就先leak出libc地址,求偏移得到system地址,(我也忘了有没有给lib库,反正我是在本地调试,拿自己的lib库。Ps:在本地可以通过./libc.so.6或者ldd --version 查看libc的版本号,作为新手还是原创 2017-05-29 19:46:21 · 3440 阅读 · 3 评论