_极目楚天舒
码龄7年
关注
提问 私信
  • 博客:16,254
    16,254
    总访问量
  • 8
    原创
  • 496,224
    排名
  • 12
    粉丝
  • 0
    铁粉
IP属地以运营商信息为准,境内显示到省(区、市),境外显示到国家(地区)
IP 属地:福建省
  • 加入CSDN时间: 2017-10-30
博客简介:

极目楚天舒的博客

博客描述:
知者行之始,行者知之成
查看详细资料
个人成就
  • 获得7次点赞
  • 内容获得2次评论
  • 获得4次收藏
创作历程
  • 8篇
    2018年
成就勋章
TA的专栏
  • CTF-PWN-堆溢出
    5篇
  • 2018强网杯
    2篇
  • 练习
    3篇
  • CTF-PWN-栈溢出
    3篇
  • ROP
    3篇
  • 格式化字符串漏洞
  • canary
  • 总结
    2篇
创作活动更多

开源数据库 KWDB 社区征文大赛,赢取千元创作基金!

提交参赛作品,有机会冲刺至高2000元的创作基金,快来参与吧!

去参加
  • 最近
  • 文章
  • 代码仓
  • 资源
  • 问答
  • 帖子
  • 视频
  • 课程
  • 关注/订阅/互动
  • 收藏
搜TA的内容
搜索 取消

RCTF-2018 babyheap详解

0x01题目分析qts@qts-PC:~/奇幻世界/RCTF2018/babyheap_38af156349af04e8f6dc22a0ffee6a7a$ ./checksec.sh --file babyheap RELRO STACK CANARY NX PIE RPATH RUNPATH FIL...
原创
发布博客 2018.06.19 ·
2018 阅读 ·
2 点赞 ·
0 评论 ·
2 收藏

0ctf-2018 heapstorm2详解

0x01 预备知识堆相关的数据结构通过malloc得到的我们称之为chunk,每一个chunk都有一个chunk头用于管理称之为malloc_chunk,定义如下:/* This struct declaration is misleading (but accurate and necessary). It declares a "view" into memory allowing a...
原创
发布博客 2018.05.20 ·
2226 阅读 ·
1 点赞 ·
0 评论 ·
1 收藏

栈溢出之stack privot姿势学习

该技巧就是劫持栈指针到自己可以控制的内存,然后进行ROP,一般来说一下几种情形可以使用栈溢出字节数较少,无法构造足够长的ROP链程序开启了PIE保护,栈地址未知将栈劫持到堆,利用堆漏洞例 boverflow分析检查保护qts@qts-PC:~/奇幻世界/杂题/xctf2016-qual-boverflow$ ./checksec.sh --file boverflow RELRO ...
原创
发布博客 2018.05.07 ·
686 阅读 ·
1 点赞 ·
0 评论 ·
1 收藏

基本ROP技巧总结

ROP攻击前提:存在栈溢出并且可以控制返回地址存在满足条件的gadget,如果开启了PIE保护则要想办法泄露gadget的地址ret2text程序本身存在类似于system('/bin/sh')或者execv('/bin/sh')的片段,我们可以直接将返回地址覆盖为其地址跳转到已有代码上。例子:TODOret2shellcode这种方法要求我们自己构造shellcode并控制程序跳转到我们构造的s...
原创
发布博客 2018.05.06 ·
5822 阅读 ·
0 点赞 ·
0 评论 ·
4 收藏

从0ctf2018 babystack学习return to dl-resolve

0x01程序分析首先查看main函数,比较简单,调用了alarm和sub_80483B,进入sub_80483B看看。sub_80483B的作用是读取0x40个字节到ebp-40处,这里显然存在栈溢出漏洞。发现只开了一个栈不可执行,于是想构造rop链。但是整个文件搜索下来也没有发现什么有价值的gadget。0x02  return to dl-resolve知识学习玩过pwn的赛棍都知道,pwn题...
原创
发布博客 2018.05.06 ·
1884 阅读 ·
0 点赞 ·
0 评论 ·
2 收藏

2018强网杯之opm

0x01程序分析程序开启了PIE,说明got表和plt表位置需要通过泄露得到。题目一共可以存放下标为0-9一共10个role,游全局变量0x202130存放。Add函数添加role的管理结构,并将该结构指针存放于全局变量0x2020e0中。输入“S”则调用print的函数指针显示role管理结构所指向的内容。Add函数,为每一个添加的role分配一个结构用于管理,并将该结构地址返回存放于全局变量0...
原创
发布博客 2018.04.26 ·
1788 阅读 ·
0 点赞 ·
0 评论 ·
0 收藏

2018年强网杯之silent2

0x01分析行为按照正常思路添加、编辑、释放Add函数分配大小为16字节或大于0x7f字节的堆块,将堆地址放入0x6020c0的bss段内。Free函数释放堆块,但是没有将指针清零,导致doublefree。Edit函数修改堆块内容,修改长度不超过原来的长度。0x02利用点checksec检查发现可以对got表进行写,很自然联想到用system函数地址覆盖strlen_got_plt,这样当调用E...
原创
发布博客 2018.04.23 ·
704 阅读 ·
2 点赞 ·
0 评论 ·
0 收藏

透过bookwriter学习top chunk和_IO_FILE利用

前一段时间研究了著名的house_of_orange,于是趁热打铁赶紧做了一道类似的题目bookwriter以巩固姿势。0x01题目分析程序行为:输入作者名字、添加、查看书页内容、编辑、查看信息。Add函数如下,作用是为每个page分配内存并将堆地址存放在全局数组heap_address,同时全局数组size存放了对应page的大小,size控制着每次edit输入内容的大小,因此要成功溢出必须覆盖...
原创
发布博客 2018.04.23 ·
1126 阅读 ·
1 点赞 ·
0 评论 ·
0 收藏