pwn
奈沙夜影
这个作者很懒,什么都没留下…
展开
-
安卓pwn - De1taCTF(BroadcastTest)
BroadcastTest背景逆向APK可知程序中仅有MainActivity$Message和三个Receiver类。前者实现了一个Parcelable类,后三个则是广播。其中Receiver1是export的,接收并向Receiver2发送广播,Receiver2和3则非export,只能接收内部发送的广播。功能为Receiver1接收base64传入的data,然后将其反序列化得到...原创 2020-05-05 11:28:43 · 25010 阅读 · 2 评论 -
有趣的Shellcode和栈
学弟问了一个ctf-wiki上pwn入门题的知识点,本身没什么意思题目下载链接 - sniperoj-pwn100-shellcode-x86-64题目简介很明显栈溢出,buf位于栈顶,栈空间为0x10个字节(可以从buf的位置rsp+0rbp-10h看出),所以栈分布为内容偏移bufrsplast_rbprsp+0x10ret_addrrsp+0x...原创 2020-03-26 04:47:28 · 24389 阅读 · 2 评论 -
180509 Pwn-ISCC(Pwn2)
写作Pwn3读作Pwn2 23333 打开pwn3反编译,发现菜单,很明显是堆的题目了 看了一下在free的时候没有清空指针,造成野指针 以我浅薄的知识猜想是double free吧参考ctf-wiki的fastbin-attack 主要漏洞在于通过fastbin管理堆的情况下,在free时仅会检查链表头部(即main_arena指向)的chunk 第一次释放free(chun...原创 2018-05-25 18:45:47 · 857 阅读 · 0 评论 -
180503 Pwn-ISCC(1)
pwn复健的第一题(:з」∠)还好比较简单 简单分析一下,在Menu中存在栈溢出,并且没有Canary保护 不过有NX保护,因此无法直接传入Shellcode 查了一下pwn的相关知识,发现这里导入了system函数,因此可以直接使用ret2system来getshellsystem传参的寄存器是edi 这个常识级别的东西因为不记得,导致用栈传参试了半天不知道为啥错orz发现这个点...原创 2018-05-25 18:45:32 · 485 阅读 · 0 评论 -
190727 pwn-ciscn_final_14
搞了快三个小时才出来_(:з」∠)_几乎白给雷泽太强了!简单逆向后可以知道该程序具有注册和登陆功能注册后会给name赋值为userx,而get_flag的需求为name==adminxpasswd成员存储原始密码加盐(随机数)加密后的结果code成员存储其他成员加盐(随机数)加密后的结果登录时校验passwd和codeStruct:00000000 User ...原创 2019-07-27 22:15:48 · 22342 阅读 · 0 评论