- 博客(11)
- 收藏
- 关注
RSS订阅
原创 about me
about meID:77二进制方向 ctfersyclover-新芽cuit2020级学生2020.10开始打第一场ctfqq:2271897004(欢迎各位师傅来加
2021-02-15 14:14:04
235
原创 强网杯2021 pwn writeup by syclover
no_output首先是利用strcpy把fd给覆盖为0然后read hello_boy 通过检测接着触发算数运算错误就能进入栈溢出函数最后就是直接用32位ret2dlresolve的模板了from pwn import *arch = 32challenge = "./test"local = int(sys.argv[1])context(log_level = "debug",os = "linux")if local: r = process(chal
2021-06-15 18:40:01
867
原创 MTCTF baby_focal writeup
MTCTF baby_focal writeup题目概览一道glibc2.31的堆题,但漏洞利用过程与新特性没什么关系开启了seccomp,禁用了execve,也就是我们要用orw来读flag用了_ptrace函数来反调试,我们直接把它nop掉就行为了方便调试,我们把两个sleep也nop掉经典的菜单题alloc这里值得一提的是采用了calloc来申请堆块,这个函数和malloc的主要区别在于会将堆块的内容清空以及申请堆块的时候不会从tcache里面取
2021-05-25 21:25:54
296
原创 nepctf pwn easystack(_stack_chk_fail)
这道题考察的是对_stack_chk_fail的利用_stack_chk_fail简单来说就是检测到canary被修改后就会触发_stack_chk_fail函数抛出异常并结束进程,这个函数的利用点在于它调用 _fortify_fail 来输出异常信息,其中包含libc_argv[0]指向的程序名void __attribute__ ((noreturn)) __stack_chk_fail (void){ __fortify_fail ("stack smashing detected");
2021-03-24 01:43:10
923
2
原创 V&NCTF 2021 hh (vmpwn)
vm这道题就是弄了一个vm,然后根据输入的code, 执行相应的操作我的理解是 相当于在函数栈里伪造一个虚拟栈,又伪造了栈顶指针,然后在这个虚拟栈里你可以进行一些操作,如add(将栈顶两个元素相加),push,pop等,然后有时候由于检验不当,就会造成越界,导致原本操作只是在虚拟栈里变成了可以影响实际函数栈的数据,相当于可以劫持RBP,RET,如果能做到这一步,接下来就是常规的ROP了这是add指令,stack[r_sp+1000]就相当于栈顶push指令更好理解注意到下面这两处这两个指令
2021-03-17 21:50:21
517
原创 V&NCTF 2021 write_give_flag
先看IDA在这里会申请若干次随机数大小(0x300-0x500)的chunk,然后把flag写进s+16的位置,重点是最后一次循环结束后,虽然free了chunk,但是并没有清空,也就是说flag还在里面然后是这里v3的值是read所读取的字符数,当我们读取的字符数为0时,下面puts的就是 noadd[-1],也就是数组越界我们可以看到noadd上面就是堆指针列表,所以 noadd[-1] 就是 chunk[3]所以思路就是 先申请三个小chunk,然后再申请一个范围在0x300-0x50
2021-03-17 02:10:26
329
原创 ret2dlresolve超详细教程(x86&x64)
X86前置知识在Linux中,程序使用_dl_runtime_resolve(link_map,reloc_offset)来对动态链接的函数进行重定位。而ret2dlresolve攻击的核心就是控制相应的参数及其对应地址的内容,从而控制解析的函数。延迟绑定第一次调用一个函数时,先是到plt表,然后jmp到got表此时got表存的地址是在plt表上其实也就是jmp got的下一条指令,这里先是push一个数字(该函数在rel.plt上的偏移,reloc_arg,后文会讲到),然后jmp到pl
2021-03-10 19:45:55
4746
2
原创 hgame 2021 week2 web re crypto misc
杭电hgame2021 week2week1比较简单就不贴wp了,week3还在做高光时刻(Nano太强啦,随时就会被超了webLazyDogR4Uwww.zip可获得源码,分析一下php就行submit=getflag&_SESSESSIONSION[username]=adminPost to zuckonitxss,写个爆破md5的脚本,在服务器搭个接收cookie的环境xss的payload>;eikooc.tnemucod+'=eikooc?php.xedni/
2021-02-15 13:03:37
1524
8
原创 记一次简单的apk反编译及其重签名
记一次简单的apk反编译及其重签名需要的工具:apktool.jarapktool.batjarsigner.exezipalign.exe以下环境均为windows10一.脚本的准备新建一个apktool.txt文件,放入如下内容,再更改后缀,得到apktool.batif "%PATH_BASE%" == "" set PATH_BASE=%PATH%set PATH=%CD%;%PATH_BASE%;chcp 65001 2>nul >nuljava -j
2020-11-23 01:05:52
377
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人