2020年05月_ha1vk

原创 ciscn_2019_ne_3

ciscn_2019_ne_3(在rop长度过小情况下，通过read劫持read自身的返回来达到后续大量rop)首先检查一下程序的保护机制然后，我们用IDA分析一下，32位栈溢出，难点在于结束变更了两次esp，因此，我们单纯的溢出，直接会造成esp变更到一个无效的地址处。因此，我们需要将将ecx覆盖为bss段，将栈切换到bss上进行rop。但是切换到bss之前，需要先...

2020-05-07 17:09:19 424

原创 [OGeek2019 Final]OVM(简易虚拟机逃逸)

[OGeek2019 Final]OVM首先，检查一下程序的保护机制然后，我们用IDA分析一下,是一个虚拟机其中，这里这条mov reg的指令比较重要还有这里mov memory的指令也比较重要这里两处，都存在下标越界，通过查看汇编指令可知,memory和reg都是有符号的数据数组。因此，利用reg[out] = memory[-X]，可以向上越界，将数...

2020-05-01 07:59:37 1126

原创 Tcache Stashing Unlink Attack

Tcache Stashing Unlink AttackTcache Stashing Unlink Attack就是calloc的分配不从tcache bin里取chunk，calloc会遍历fastbin、small bin、large bin，如果在tcache bin里，对应的size的bin不为空，则会将这些bin的chunk采用头插法插入到tcache bin里。首先，我们来看一...

2020-05-01 07:59:20 1838 1

原创 shellcode题总结

shellcode题总结有时shellcode受限，最好的方法一般就是勉强的凑出sys read系统调用来输入shellcode主体。下面从几个题来加深理解。starctf_2019_babyshell现在shellcode字节允许的范围在表内我们直接用IDA强制转为汇编，我们发现pop rdx、pop rdi、syscall可以用。而执行shellcode时，正好...

2020-05-01 07:58:56 1195

原创 ciscn_2019_sw_5(tcache下delete次数限制时的巧妙利用手法)

ciscn_2019_sw_5(tcache下delete次数限制时的巧妙利用手法)首先，检查一下程序的保护机制然后，我们用IDA分析一下，仅两个功能其中，delete功能只能用3次，delete功能没有清空指针，存在double free漏洞。Add功能，size不可控，结尾printf可以输出堆内容。我们可以利用add结尾的printf输出，main_are...

2020-05-01 07:58:36 701 1

原创 ciscn_2019_es_5(realloc(ptr,0)会free掉ptr并返回0)

ciscn_2019_es_5首先，检查一下的保护机制然后，我们用IDA分析一下Create的时候，没有检查size，因此size可以为0Edit的时候，调用了realloc，并且没有检查size是否为0，如果为0，则这个chunk会被free掉，但是堆指针没有从flist堆数组里移除，这就造成了UAF。#coding:utf8from pwn import *...

2020-05-01 07:58:16 477

原创 ciscn_2019_sw_7

ciscn_2019_sw_7首先检查一下程序的保护机制然后，我们用IDA分析一下，最多创建10个堆，并且size不能超过0x60Delete功能没有清空指针，因此可以double free。由于size受限制，因此我们需要伪造一个unsorted bin范围的chunk，glibc版本2.27，存在tcache，因此，我们还要先攻击tcache bin表头，篡改对应的...

2020-05-01 07:58:01 524

原创 ciscn_2019_en_4

ciscn_2019_en_4首先检查一下程序的保护机制然后，我们用IDA分析一下，主函数里的功能通过对应index的虚表调用，虚表存在在堆里。Edit功能存在下标溢出，因此可以向上溢出修改虚表指针。Show功能同理存在溢出，可以读取原来的虚表地址,进而计算出程序的基址。进而计算出堆指针存放的地址，我们将堆指针的地址-0x18作为虚表地址，这样，当我们再次调用功...

2020-05-01 07:57:09 420 1

原创 ciscn_2019_c_3

ciscn_2019_c_3首先，检查一下程序的保护机制Glibc给定版本2.27然后，我们用IDA分析一下Delete功能没有清空指针只能向heap_data + 0x10处开始输入数据,这意味着，chunk的fd域不能被我们修改到Backdoor函数可以对chunk的fd域做修改，因此，我们可以利用backdoor，将fd指向伪造的chunk处，而伪造的ch...

2020-05-01 07:56:30 818

原创 inndy_onepunch(text段有时是可以修改的)

inndy_onepunch用IDA分析一下程序，任意地址写一个字节。想不到的是，text段可以修改，因此，我们可以直接修改text的指令，来达到多次利用。#coding:utf8#想不到text段竟然可以写from pwn import *context(os='linux',arch='amd64')#sh = process('./onepunch')sh = ...

2020-05-01 07:55:50 591

原创 PicoCTF_2018_buffer_overflow_3(本地固定canary的爆破)

PicoCTF_2018_buffer_overflow_3用IDA分析一下程序，程序从一个固定文件里读取数据，作为canary的值。由于文件内容不变，所以，我们可以直接爆破。#coding:utf8from pwn import *shell = ssh(host='node3.buuoj.cn', user='CTFMan', port=27525, passwor...

2020-05-01 07:55:31 826

seaaseesa的博客