think_ycx的专栏

20180528 LD_PRELOAD环境变量If you set LD_PRELOAD to the path of a shared object, that file will be loaded before any other library (including the C runtime, libc.so). So to run ls with your special mall...

大约一年之前看过，今天又看了一遍。总结一下。对于程序员来说，有时我们是知道if判断之后最有可能会去执行哪个分支的。对于CPU而言，流水线机制使得CPU会在执行当前指令时，就已经会完成对下一条指令的取指操作。如果下一条已经取出来的指令没有被执行，取指操作就浪费了！如果执行了，就节省了取指令的操作。为了不让CPU浪费取指操作，我们需要让执行if判断后，下一条指令是最有可能被执行的指令。对应...

binary来自HITCON2014的stkof，反汇编其中的create函数时，发现printf函数的第三个参数识别错了。虽然printf的%d没有用到第三个参数，但是按理来说，64位程序的参数传递顺序为：rdi rsi rdx rcx r8 r9，第三个参数rdx实际上是[rbp-0x78],也就是rax，也就是malloc的返回值。但是IDA F5插件将其识别为调用malloc的参数，也...

原文checksec及其包含的保护机制今天在研究liunx下栈溢出的时候发现自己对各种保护机制并不是特别了解，因此就这方面的知识在网上查找了一些资料并总结了一些心得和大家分享。操作系统提供了许多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安全风险，包括DEP、ASLR等。在编写漏洞利用代码的时候，需要特别注意目标进程是否开启了DEP（Linux下对应NX）、ASLR（L

pwn1thoughtsint sub_804857D(){ int v1; // [sp+10h] [bp-20h]@1 setbuf(stdin, 0); setbuf(stdout, 0); setbuf(stderr, 0); printf("=====Welcome to tsctf2016!=====\n\nPlease input your name:"); r

pwn1thoughtcarter学长给的bof题目，题目比较奇葩= =。IDA能分析个大概：int sub_8048582(){ alarm(0x3Cu); setbuf(stdin, 0); setbuf(stdout, 0); setbuf(stderr, 0); dword_804A160 = sub_804856D; printf("C'mon pwn me :

pwn1thoughts在第一个子函数布置shellcode（bss段的地址可定位）。puts("I'm zhouheiya, what about you?");read(0, &format, 0x32u);printf(&format);此处存在bof，计算偏移覆盖返回地址为bss段中shellcode地址即可。puts("I'm datouerzi, what about you?");