- 博客(15)
- 收藏
- 关注
RSS订阅原创 GKCTF domo
1. glibc2.23用unsorted bin泄露libc2. heap_addr用fastbin泄露3. heap重叠改写fd实现任意地址写入4. 申请一个chunk伪造成vtable,将one_gadget布置进去5. 在_IO_2_1_stdin_构造fake_chunk改写vtable为fake_vtable6. 当程序调用scanf时就会触发one_gadget(具体调试跟踪太.....所以暂时记概念)
2022-10-05 11:31:57
180
原创 DASCTF X CBCTF 2022九月挑战赛 appetizer
1. 将rop链布置到end中,泄露出libc地址,通过最后一个read进行栈迁移2. 在第一个链中输出完之后再执行一个read向end写入第二个rop链3. 第二个rop链就是常规的open,read,puts了
2022-10-04 22:40:10
294
原创 DASCTF X CBCTF 2022九月挑战赛 cyberprinter wp
通过格式化字符串漏洞改写libc中strlen的got表地址为one_gadget
2022-10-02 12:39:35
344
3
原创 星盟-pwn-heap2 (tcache attack,house of orange)
通过unsorted-bin泄露出libc_base通过tcache attack申请到malloc_hook的地址改写为one_gadget
2022-08-08 13:43:02
1219
原创 星盟-pwn-babyheap
1. 堆重叠获取libc_base地址2. 使用unsorted attack更改global_max_fast,使chunk进入fastbin3. 使用fastbin attack更改malloc_hook为one_gadget
2022-08-01 14:16:51
193
原创 星盟-pwn-fog
1. 利用null off by one 与unlink泄露libc,改写malloc_hook为one_gadget2. 获取shell
2022-07-24 19:19:40
992
原创 Asis2016 books null off by one
方法一:本地环境和远端环境一致的情况下,我们要泄露libc地址去改写free_hook指针,前面提到过mmap申请的chunk地址,用的是libc的基地址+offset,通过这种方式泄露libc,然后改写free_hook为system
2022-07-21 14:57:54
82
原创 nepctf Nyan Cat 彩虹猫
1.利用write,控制eax=0xb2.ebx,ecx,edx指向我们为执行execve函数所布置的栈3.执行int 80h
2022-07-17 19:46:15
1360
原创 第六届蓝帽杯 EscapeShellcode
1.用rip地址进行遍历write输出2.通过rip的地址对其进行地位抹除操作,然后以页为单位,使用write寻找第一个可以输出的页,然后+flag的偏移就可以拿到flag了
2022-07-17 19:25:33
177
原创 2022DASCTF X SU 三月春季挑战赛 checkin ROPgadget进阶使用
1. 栈迁移至bss段2. 泄露libc地址,将setvbuf改写成puts,将rdi内容改写成read_got,从而泄露libc3. 再次通过read函数执行system
2022-07-17 19:19:05
226
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人