CTF
文章平均质量分 83
书文的学习记录本
这个作者很懒,什么都没留下…
展开
-
0ctf_2017_babyheap详解
本文主要列出0ctf_2017_babyheap的详细过程主要参考:https://bbs.pediy.com/thread-223461.htm程序流程allocate:申请size大小的块fill:对idx的块,设置size,并填入contentfree:释放idx的块dump:打印idx的块内容漏洞分析fill中的size可以重新设置,故可以造成堆溢出。方法:fastbin attackdouble free泄露libc【small/large chunk释放,fd和.原创 2021-04-19 23:51:47 · 3967 阅读 · 2 评论 -
wdb_2018_2nd_easyfmt详解
wdb_2018_2nd_easyfmt详解自己做出来了,,,,还看其他人的参考:wdb_2018_2nd_easyfmt程序流程程序流程非常简单,可以一直进行格式化字符串漏洞。漏洞利用首先通过格式化字符串泄露栈信息通过格式化字符串修改printf_got表为system(one_gadget本地打通了,远程没有,,)发送“/bin/sh\x00”,详细过程0.查看基本信息32位程序,只开了nxwinter@ubuntu:~/buu$ file wdb_2018_2nd_e.原创 2021-04-25 23:42:32 · 1713 阅读 · 2 评论 -
pwnable.tw 第一题之start
今天学长布置了作业,,,做这道题,,,言承这次遇到的第一个情况,,,就是页面打开了,题目出不来。作为一名安全一份子,一直不会访问外网,流泪。趁着这次机会,搞定了,参考博客:https://www.wonxun.net/share/444然后我们来看题32位的程序,程序什么也没开,,,感觉挺友善的哈执行效果,,挺好就一个输入点,基本猜测就是栈溢出,,,用id...原创 2020-04-26 21:10:50 · 569 阅读 · 2 评论 -
npuctf_2020_easyheap详解
off by one的题,,,参考视频:off by one + 改got表的heap做法 例题:npuctf_2020_easyheap程序流程create:申请两个chunk: 一个heaparray[i](固定0x10大小),一个是申请的大小(只能申请0x18或0x38)edit:read_input(heaparray[(signed int)v1][1], *heaparray[(signed int)v1] + 1LL);存在off by oneshow:根据id.原创 2021-04-25 00:24:08 · 874 阅读 · 0 评论 -
BUUCTF刷题(前12道)
哈哈哈,我又来刷题了,看了下BUUCTF上面的pwn题还真多。。。test_your_ncida查看,发现直接执行system,所以,直接交互就可以//写下简单的脚本from pwn import *p = remote('node3.buuoj.cn',28213)p.interactive()...原创 2020-04-04 13:42:52 · 1114 阅读 · 0 评论 -
HITCON-Training lab5(自己构造rop)
看到静态链接,一顿欣喜,直接ropchain生成,栈溢出找出来就ok啦?然后后来发现并没有那么简单。。。================================================================================================【一段小插曲】做题的时候突然很奇怪,nx开启,堆栈不可执行,为什么可以执行pop这些指令...原创 2020-03-12 14:31:23 · 371 阅读 · 0 评论 -
HITCON-Training lab10(uaf入门题)
题目下载地址:https://github.com/scwuaptx/HITCON-Training哈哈哈,纪念一下明白的第一道堆题,虽然它真的很简单。。。32位程序三个功能,增、删、打印程序给我们预留了后门函数add函数,创建note会有两个堆块,分别是存放两个函数指针的8字节堆块和存放内容的堆块这个示意图很清楚:...原创 2020-03-08 13:31:36 · 749 阅读 · 2 评论 -
axb_2019_heap详解
关于axb_2019_heap的详解参考:buuctf axb_2019_heap程序流程banner:存在格式化字符串漏洞,可以泄漏栈上的信息add:根据idx创建size(大于0x80)大小的内容为content的块块指针和块大小存放在一个全局变量note中delete:释放的很干净,没有uafedit:存在off by oneget_input(*((_QWORD *)¬e + 2 * v1), *((_DWORD *)¬e + 4 *.原创 2021-04-25 23:40:33 · 636 阅读 · 0 评论 -
hitcontraining_bamboobox
hitcontraining_bamboobox这道题有两种解题方式:house of force参考:house of forceunlinkhouse of force(详解)知识点只要top chunk size够大,就能随意申请chunk所以,如果有溢出能控制top chunk size,就可以修改其为-1(0xffffffff最大值),然后malloc(负数)可以向上申请,malloc(正数)题目流程程序一开始申请0x10的块,存放hello_message和.原创 2021-04-24 21:40:19 · 739 阅读 · 5 评论 -
2019-CISCN华南赛区半决赛 pwn8
参考博客:https://xz.aliyun.com/t/5517#toc-3学长给了这道题目,结合了逆向+pwn64位的程序,是静态链接的,静态!可以直接构造rop链了就开启了nx保护执行的时候发现权限不够,直接给他加权限就可以,chmod +x easy_pwn执行emm,要把文件拖入桌面然后放入ida里面,因为桌面是C盘,有管理...原创 2020-02-22 16:06:10 · 486 阅读 · 0 评论 -
栈迁移学习(buuctf [Black Watch 入群题])
i春秋的borrowstack是栈迁移和万能gadget的混合,,,然后writeup看的不是很明白,也没有很细的解析,所以,emmm,应该是自己栈迁移学的不是很好,只是知道大概的意思,但是还没有做过题,这次在看雪看到文章,就好好学一下,做到题啦!!栈迁移,我觉得比较好理解,如果试过将调用一个函数过程好好自己试过的话,知道控制ebp,可以控制函数的去向,详细可以看看这篇图示:https://b...原创 2020-03-14 14:12:29 · 1018 阅读 · 0 评论 -
hitcon_2014_stkof详解
本文主要列出hitcon2014_stkof的详细过程主要参考:unlink 系列程序流程allocate:分配一个指定size大小的块,返回idx。其中块的指针信息保存在一个全局变量0x602140中fill:根据idx找到对应的块,重新给定大小size,读入内容contentfree:释放idx的块漏洞分析由于fill时候的size可以重新制定,可以造成堆溢出。没有打印函数有一个全局变量方法:unlinkunlink,控制全局变量内容修改chunk1指.原创 2021-04-20 23:21:54 · 1724 阅读 · 2 评论 -
i春秋新春战役PWN之Some_thing_exceting
心好累,堆处入手,看明白了,可是总是复盘实现不了。。。不过学长那边可以,是我机子的问题??题目链接:https://pan.baidu.com/s/1Tv5Y4ieNVEasZ8oAYYn2Lw 提取码:5td6文件查看一下拿到程序发现运行不了,查看文件属性,发现没有执行权限,加一个执行权限执行不了因为程序要打开/flag(根目录下flag)文件...原创 2020-03-09 17:32:48 · 702 阅读 · 0 评论 -
HITCON-Training lab8(格式化字符串写漏洞)
还在补格式化字符串漏洞的知识,,,,看到这道题的时候,有点懵,,,因为发现218不会整,,,看官方writeup也不太行,,,先知社区上有篇讲的就很好了,,,nice,用了四种方法(最后一种没看懂,,,),,,看完,BJDCTF那道r2t4终于也明白了,感天动地,,,今天就写下前三种方法的种种,,,顺便计算下偏移,反正都会用到偏移是7方法一最简单的...原创 2020-03-28 10:38:33 · 334 阅读 · 0 评论 -
buuctf刷题(2)【13题 - 】
not_the_same_3dsctf_2016一开始看到这两个函数,直接栈溢出,跳过来不就行了,,,没注意看,get_secret,是指将flag读入了f14g,并没有打印出来呢,所以我们还需要自己打印一下搜了一下,有write函数,那就调用它#coding=utf-8from pwn import *connect = 1#连接本地fileName=''#文件名port='node3.buuoj.cn'#端口ip='29206'#IP地址main_addr = 0x原创 2020-05-16 17:49:15 · 404 阅读 · 0 评论 -
HITCON-Training lab13 heapcreator(heap extend)
啊啊啊,搞了一早上,终于终于搞明白了,,,题目链接:https://buuoj.cn/challenges#hitcontraining_heapcreatorida简单看一下创建堆编辑对比建堆,可以看到size大了一个打印删除程序基本功能就这样了因为edit的时候可以多写入一个字节,存在off-by-one,我们可...原创 2020-04-16 22:55:06 · 1049 阅读 · 2 评论 -
BugkuCTF刷题 pwn
唉,觉得自己TCL,栈溢出知识点差不多都会了,可是题目做不出来啊啊啊啊!缺少锻炼吧,这两天把BugkuCTF上面的pwn题做一下吧。。。pwn1只给了连接第一次,才50分,想来不会太难,连上去果然,连接就能拿flag...原创 2022-04-02 19:06:53 · 559 阅读 · 0 评论 -
BJDCTF 2nd - Pwn(r2t3、one_gadget、r2t4)
r2t3最简单的一道题,可是我竟然没有做出来,无语了,,,文件保护没啥好说的,,,很正常进入name_check函数255 ==> 255256 ==> 0,257 ==> 1,258 ==> 2,259 ==> 3,260 ==> 4,261 ==> 5,262 ==> 6,263 ==> 7,264 ==...原创 2020-03-25 16:56:24 · 628 阅读 · 14 评论 -
HITCON-Training lab7(一道简单的格式化字符串读漏洞)
格式化字符串知道他的操作,可是做的一点也不熟练吧,,,BJDCTF上的r2t4不会啊,,,看不懂,,,所以就来补补格式化字符串的题目了,,,,看到canary开启了,我还以为要泄漏canary呢,结果发现不用那么麻烦,,,其实看下,思路很清晰,先让你输入东西,然后返回给你,然后你输入password,如果和程序中的一样,你就拿到flag了,,所以输入的东西里面需要泄漏pa...原创 2020-03-27 10:34:41 · 263 阅读 · 0 评论 -
攻防世界note-service2
来源:CISCN-2018-Quals参考:1.https://blog.csdn.net/qq_42728977/article/details/1039143422.https://blog.csdn.net/seaaseesa/article/details/103003167原创 2020-02-20 21:44:43 · 699 阅读 · 0 评论 -
攻防世界Mary_Morton
64位程序,开启了canary和nx保护执行以下,效果如下:有提示:输入1那块存在栈溢出输入2那块存在格式化字符串漏洞拖到ida看一下main函数:栈溢出的函数:有canary保护,根据程序可以看出,v2应该就是canary的值,一开始,将_readfsqword(0x28u)的值给v2,后来又和v2做异或操作,只有v2与它还相等,...原创 2020-02-16 07:31:27 · 934 阅读 · 0 评论 -
小白言承之PWN学习路线(持续更新)
PWN(溢出):PWN在黑客俚语中代表着攻破,取得权限,在CTF比赛中它代表着溢出类的题目,其中常见类型溢出漏洞有栈溢出、堆溢出。在CTF比赛中,线上比赛会有,但是比例不会太重,进入线下比赛,逆向和溢出则是战队实力的关键。主要考察参数选手漏洞挖掘和利用能力。CTF PWN特点:入门难、进阶难、精通难pwn学习内容:(1)了解Linux ELF文件(2)分析掌握栈溢出原理理解函数参...原创 2020-01-29 16:39:28 · 6745 阅读 · 3 评论 -
君莫笑系列视频学习(5)(终)
这次视频讲解的是通过jmp esp布置跳到shellcode执行pwn_by_example_7_b0verfl0w (jmp esp):https://www.bilibili.com/video/av35112734与这个视频的第一集讲解的内容一致:https://www.bilibili.com/video/av51256118这道题是X-CTF Quals 2016...原创 2020-01-27 20:08:10 · 472 阅读 · 0 评论 -
君莫笑系列视频学习(4)
接下来,视频讲解的都是各个例子(https://space.bilibili.com/14500640/)(1)程序中自身就含有system函数和"/bin/sh"字符串(2)程序中自身就有system函数,但是没有"/bin/sh"字符串(3)程序中自身就没有system函数和"/bin/sh"字符串,但给出了libc.so文件(4)程序中自身就没有system函数和"/bin/sh"...原创 2020-01-25 22:04:38 · 342 阅读 · 0 评论 -
君莫笑系列视频学习(3)
逆向基础速成-1https://www.bilibili.com/video/av15099229emmm,逆向这里up主讲解一本书,没什么好说的但有一点,调用函数的时候,要push参数,假设压入了n个参数,接下来为了栈帧平衡,需要esp+n×4如od调试该程序时,调用Plus函数时先压入两个函数,然后esp最后要加上2×4=8(该程序的源码:https://down...原创 2020-01-25 20:34:16 · 233 阅读 · 0 评论 -
君莫笑系列视频学习(2)
早上九点起床,洗漱吃饭,要十点了,明天早点睡,希望寒假越起越早。。。现在又到了开心的学习时间。pwn入门系列-2-一个简单的例子https://www.bilibili.com/video/av14824239/?spm_id_from=333.788.videocard.2第2讲,开!bss段上是未初始化的局部变量和静态变量,大小0x1000这讲讲的是一个小例...原创 2020-01-23 10:40:50 · 330 阅读 · 0 评论 -
君莫笑系列视频学习(1)
今天看四个视频好了,全部看完有点难。。。pwn入门系列0,1,2和逆向基础速成pwn入门系列-1-pwn基础知识https://www.bilibili.com/video/av14821631/?spm_id_from=333.788.videocard.2第一讲,开!Linux环境下常见漏洞利用技术是君莫笑的资料,之前下载资料太多。。已经乱了ida...原创 2020-01-22 14:12:39 · 1872 阅读 · 1 评论 -
君莫笑系列视频学习(0)
呜呜呜,要哭了,写个博客太不容易了,一定要好好保存,不然,一会儿,东西都没了,这是我第四次开了!又得重新来过,小小忧伤...pwn入门系列-0-介绍及环境搭建https://www.bilibili.com/video/av14550200第0讲file查看文件属性,主要看ELF,多少位和静/动态链接NX:not x(执行)即堆栈不可执行没有PIE,那么...原创 2020-01-22 14:06:17 · 244 阅读 · 0 评论