九层台

强网杯 2021 no_output没有输出，包含栈溢出。进行两次校验，前两次输入直接用angr模板获取。但是angr不能直接探索到触发信号之后（可能是咱不懂）import angrimport sysimport binasciidef main(argv): path_to_binary = "./test" # :string project = angr.Project(path_to_binary)#要分析的二进制文件 # 告诉ange从哪里开始执行entr

pwn1就是爆破一下，记下来以后接着用from pwn import *p = remote('182.92.212.76', 31204)p.recvuntil('x[:20] = ')target = p.recvuntil('\n',True)p.recvuntil('<built-in function openssl_')x = p.recvuntil('>',True)funtable = { "sha224":hashlib.sha224, "md5

1.chunk的申请机制，在申请chunk的时候满足first-fit算法（从unsorted bin中遍历遇到第一个比需要chunk大的chunk切割，然后遍历unsorted bin链对应chunk放入对应位置）（所需chunk大小大于small bin或者small bin中没有找到恰好满足的chunk大小，或者fastbin中没有找到合适的chunk大小会引起fast bins遍历合并放...

这里看可以输入48个字节，最后没有跟00能够泄露出来rbp从ida上面看是这样的，id并没有保存。但是实际上id被保存到了这里。var_38被定义为刚好再输入的name上面。在栈上显示如下图#coding=utf-8from pwn import *context(arch='amd64',os='linux')context.log_level = 'debug'p =...

#include <stdio.h>#include <stdlib.h>#include <string.h>#include <signal.h>#include <fcntl.h>#include <sys/stat.h>#include <sys/types.h>#define BASE 4...

文章将整理从入门栈溢出到堆house系列的梳理。0x01栈知识call 将当前的IP或者CS和IP压入栈中。 转移汇编：call xxx push IP jmp xxxret 将程序的返回地址弹出到ip寄存器中 程序继续执行汇编： pop IP有call就要有传参，32位系统用栈来传参参数是倒着传进去也就是最后的参数先push64位系统用寄存器来传参前三个参数是...

０x15测试流程设初始状态：　　设置hook函数,声明要获取输入的变量设置成功失败状态： 检查运行到某一地址时内存数据的值，可以用copied_state = state.copy() 探测之后添加限制条件来检查最终结果是否符合要求解析成功数据：对声明的变量解析得到输入，解析得到格式化输入，添加限制条件解析出来最终的值#检测程序漏洞，并且检测这个漏洞能否被利用import angr...

main_arena里面的内容pwndbg> x /20xg 0x7fed08ed9af00x7fed08ed9af0 <_IO_wide_data_0+304>: 0x00007fed08ed8260 0x00000000000000000x7fed08ed9b00 <__memalign_hook>: 0x00007fed08b9ae20 0x00007fe...

使用场景：一遍运行（延迟绑定技术，只有在第一次调用该函数时才会调用_dll_runtime_resolve函数）没有输出，没有system函数。需要：1.向一个固定地址写入数据（bss段）2.能够劫持程序执行流linux下c函数是放在libc库里面的ldd pwn01 linux-gate.so.1 => (0xf7ef2000) libc.s...

0x01your_pwn Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled保护全开的栈地址任意写v4的索引是可以输入的，也会输出v4数组的内容。比较麻烦的是每次只能读写一...