- 博客(15)
- 收藏
- 关注
RSS订阅原创 CISCN2020 PWNwp
国赛嘛,不想说啥这里写目录babyjscmajeasyboxsnofreewow总结babyjsc非预期,python的input命令执行漏洞# -*- coding: utf-8 -*from pwn import *from LibcSearcher import *context.log_level = 'debug'context.arch = 'amd64'p = 0def pwn(ip,port,debug): p = remote(ip,port) payload='
2020-08-21 23:31:36
2133
原创 2020WMCTF cfgo_CheckIn题解
周六周日刚打了打,战队里一共出了两道题。分别是cfgo_CheckIn跟mengyedekending。我的话是一直在做cfgo_CheckIn,mengyedekending由战队里的whalien51冲出来的。我暂时没有复现。就先写下这个cfgo_CheckIn的wp详细解释的话放到我的博客站上不太明白的湿傅们可以去我的博客上看下具体实现思路编写破解迷宫算法,然后栈溢出就行了。# -*- coding: utf-8 -*from pwn import *from LibcSearcher
2020-08-03 09:41:24
1014
原创 DASCTF 7月部分pwn
做了pwn1跟pwn3,pwn2没做出来(俺是废物)…pwn1签到题,但是我们要记住.text:080485F8 mov eax, 0.text:080485FD mov ecx, [ebp+var_4].text:08048600 leave.text:08048601 lea esp, [ecx-4].text:08048604
2020-07-25 16:28:20
1537
原创 2020SCTF PWN部分wp
人在楼顶,感觉良好。目前的自己还是只能做一些常规的Liunx下的PWN题,对其他的我就是个废物了。这里写目录CoolCodesnake总结CoolCode这个题主要是shellcode非常的难构造。比赛的时候whali3n51大师傅做出来的,我只是复现了他的payload。本题目沙盒只剩下了0,1,5,9四个函数调用。当我们想构造ORW的时候,没有open函数怎么办。这个时候我们知道5在32位下是open。那么我们考虑用retfq修改cs寄存器从而修改运行模式。具体参考:https:/
2020-07-06 09:48:56
1020
原创 DASCTF 6月部分pwn wp
感觉质量挺高的,有点昏迷,目录Memory-Monster-IVoooooordereasyheapspringboardsecret写在最后Memory-Monster-IV这个题我是真的服了,恶心了我一天时间,最后还是没出,知道是要改got表,而且每次只能改一个字节,第一次改后变成ret之类的无用函数,我是不想说啥,没复现出来,贴下作者的分析把:http://taqini.space/2020/06/26/DASCTF-June-Memory-Monster-IV-200pt/我感觉能学到的东
2020-06-27 12:08:58
1229
原创 2020第五空间部分wp
我是废物~,我个人的话出了4个题。分别是pwn类的twice,of,misc类的loop,re类的rev,写下wp,后续的话可能会更新pwn类的pwnme的wp,由于我环境搭建没打好,pwnme本来也是个简单题来着。等环境整好了复现出来了在更新pwnme吧,现在先把现有的wp贴上去。twice程序循环两次,第一次泄露canary+stack地址,第二次执行栈迁移溢出,我这里用的ret2libc,很多方法。from pwn import *from LibcSearcher import LibcS
2020-06-25 09:03:23
2882
9
原创 QT找不到windows.h解决方法
搞C++大作业,github上扒了QT项目,跑的时候显示找不到windows.h,想着好久没用了,环境崩了,就去找解决方案。恶心了我半天,本来以为是VS的问题,但是不是,最后还是环境变量的问题网上全是C:\Program Files (x86)\Microsoft SDKs\Windows\v7.1A\Include这个解决方法,但是我的Microsoft SDKs下面没有Windows这个文件夹,吐了吐了,解决方案,加入环境变量D:\Windows Kits\10\Include\10.0.1
2020-06-22 19:09:42
11017
原创 RCTF_pwn_no_write
这道题ban掉了打印函数,当时比赛的时候找到了相关的SROP开启沙盒的博客,也知道了要考虑用strncmp来进行flag的单字节的爆破。但是我一鼓作气再而衰了,第二天没太玩命,利用脚本没有写出来,SROP对于我还说还是套脚本…来复现一下ruan大佬的脚本ruan博客检测这里我使用了seccomp-tools工具命令seccomp-tools dump ./no_write 0000: 0x20 0x00 0x00 0x00000004 A = arch 0001: 0x15 0x00 0x
2020-06-03 17:40:24
1120
原创 kernel_Double_Fetch详解
Double_Fetch本质上是一种条件竞争漏洞,当系统采用并发编程,经常对资源进行共享时,往往会出现条件竞争漏洞。条件竞争的条件我们以计算机程序方面的条件竞争来举例,当一个软件的运行结果依赖于进程或者线程的顺序时,就可能会出现条件竞争。综合考虑下,条件竞争需要的条件如下。1.并发,即至少存在两个并发执行流。这里的执行流包括线程,进程,任务等级别的执行流。2.共享对象,即多个并发流会访问...
2020-04-30 20:21:02
669
原创 exit_hook劫持
更改exit()某一结构体,再调用exit()可以实现程序流程的劫持。原理分析首先查看exit()源代码,我的libc=2.27调用__run_exit_handlers函数,查看源代码,exit.c 77行。 while (cur->idx > 0) { struct exit_function *const f = &cur->fns[-...
2020-04-13 12:26:44
4832
8
原创 MidnightsunCTF Quals 2020 pwn
博客地址外国人出的题往往比较有特色,相对我国大大小小的比赛尤其是一些堆题,往往都是一个固定的套路,越做最多写脚本的速度快了,其实并没有学到什么新东西。pwn1,pwn2,pwn4都是简单的题,pwn3是arm栈溢出,pwn5是mips栈溢出,相对于我觉得pwn6比较有学习的地方。目录pwn6思路及利用找漏洞思路修改dword_6D7330值伪造stout泄露地址测试poc将rop写入返回地址...
2020-04-09 16:17:11
834
1
原创 arm栈溢出
博客地址静态编译的arm栈溢出,我也是第一次做arm,主要需要解决动态调试的问题。题目地址arm基础知识r0,r1,r2,r3为前四个参数,在多余的参数依次压栈。pc为程序下一条指令地址,相当于x86汇编里的eip。环境配置qemu,用来模拟arm环境如图,可以运行arm程序gdb-multiarch,用来调试arm架构程序动态调试1.qemu-arm -g 1234 ./...
2020-04-06 13:36:43
2042
原创 libc.2.29漏洞利用及原理
博客地址还是在csdn里访问方便点。tcache poisoning原理在libc2.27中,由于对tcache缺少充分的检查,导致double frees横行,在libc2.29中对tcache添加了一些东西。malloc.c->2904行typedef struct tcache_entry{ struct tcache_entry *next; /* This f...
2020-03-24 10:15:23
1587
4
原创 BJDCTF 2nd pwn Writeup
博客地址没做完…没出的题复现了补上去…r2t3整数溢出,还是比较简单的# -*- coding: utf-8 -*from pwn import *from LibcSearcher import *context.log_level = 'debug'context.arch = 'amd64'elf = ELF('r2t3')p = 0def pwn(ip,port,de...
2020-03-23 09:26:12
3148
8
原创 高校战“疫”网络安全分享赛pwn部分wp
高校战“疫”网络安全分享赛pwn部分wp博客地址easyheap刚复现的第一题,并且在刚开始的时候连洞都找不到…可真是当头一棒。漏洞在申请的大小大于0x400时,return。这时ptr[i]没有被释放,接下来就是常规劫持ptr[i]堆块上的指针为got表。修改got表。来实现利用。# -*- coding: utf-8 -* from pwn import *from LibcSea...
2020-03-11 11:56:50
872
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人