Stack Migration题目练习前言记录几道Stack Migration的练习题。 pwnable_simple_login查看保护和arch Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x8048000) 32位程序，开了nx和Canary保护。 ida分析int __cdecl main(int argc, const char **argv, const char **envp) { int de_s; // [esp+18h] [ebp-28h] char s; // [esp+1Eh] [ebp-22h] unsigned int de_length; // [esp+3Ch] [ebp-4h] memset(&s, 0, 0x1Eu); setvbuf(stdout, 0, 2, 0); setvbuf(stdin,

花式栈溢出（栈帧的调节）前言本人刚学pwn不久，最近在学习过程中学到了各种需要栈帧调节的题目，以此记录一下。在一些栈溢出的程序中，我们会碰到一些问题，例如溢出的可控字节数太少，无法构造我们想要的rop链，程序ASLR开启后导致的栈地址不可预测等。对于这种问题，常用的思路包括： 加减esp值，控制栈指针 Stack Migration来构造一个假的栈帧。 这里总结了2种题型： 加减esp，把控栈指针这种题型就需要用Ropgadget找一个控制esp的gadget，然后简单修改esp值的大小，来满足我们的需求。 Alictf_016_vss这个题目就是一个修改esp扩大栈空间，从而构造rop链获取shell的题目。 检查保护和arch ida分析由于这个程序使用静态编译和strip命令剥离符号，用ida打开没有我们平时看的那么简单，很多函数已经无法识别，我们就需要自己调试，然后推测是什么函数。start函数中，call的函数是__libc_start_main, 上一行的 offset则是main函数那个箭头就是main函数了。进入main函数以后，可以经过syscall中rax的参数

ROP题目练习前言最近在学习栈溢出，做了一些ROP的练习题，基本都是buuoj的题目，搜索rop字眼找的rop题。简单记录一下收获和exp。 有libc（或者无libc可做）OGeek2019_babyrop查保护和arch32位程序，开启NX堆栈不可执行。 ida分析可以看出其取了一个随机数，存入buf。然后进入这个函数分析，看到接收buf传来的值，放入s中。然后下面接收你传入的东西，与s判断是否相同，不相同就会退出。然后如果不退出返回值是v5，但是这里的v5在函数中是没有经过处理的。看一下汇编：v5咱们想控制，就只能通过原来那个read函数，咱们传入的值去控制。返回值给v2，然后v2作为参数然后进入下面这个带有溢出的函数中。 观察后，可以看出咱们应该把这个返回的参数整的大一点，方便进行写ROP链。 分析总结其中对于绕过相等判断，可以利用一下strlen函数的特性，然后直接用\x00来截断。v5这个返回参数可以控制为’\xff’,然后进入带有溢出的函数，写rop链就行了。先用puts函数泄露出__libc_start_main的地址，然后在给的libc中确认下symbols，然后拿到

HTML 基础 HTML标题：是通过 <h1> - <h6> 标签来定义的.；其会因为数字变化而显示的字体大小变化； HTML段落：通过标签<p> 来定义的. HTML链接：通过标签<a>来定义的。 HTML图像：通过标签 <img> 来定义的。 HTML 文本HTML 标题标题（Heading）是通过<h1> - <h6> 标签进行定义的.<h1> 定义最大的标题。 <h6>定义最小的标题。浏览器会自动地在标题的前后添加空行。 标题很重要： 不要仅仅是为了生成粗体或大号的文本而使用标题，而是==为了用户可以通过标题来快速浏览您的网页应该将 h1 用作主标题==（最重要的），其后是 h2（次重要的），再其次是 h3，以此类推。 HTML 注释注释： 开始括号之后（左边的括号）需要紧跟一个叹号，结束括号之前（右边的括号）不需要，合理地使用注释可以对未来的代码编辑工作产生帮助。。 <!-- 这是一个注释 --> HTML 段落浏览器会自动地在段落的前后添加空行。（

DDCTF2019-RE-Windows Reverse前言在一个论坛里发现DDCTF这两道逆向题不是很难，就想着做一下练练手。因为最近做的都是比较老的题目，这个还算新一点的。题目下载：reverse1_final.zipreverse2_final.exe.zip reverse1_final.exe查壳可以看出是UPX壳。另外： /Volumes/data/ctf逆向题目/2019ddctf  file reverse1_final.exe reverse1_final.exe: PE32 executable (console) Intel 80386, for MS Windows, UPX compressed在mac终端也可以用file命令查出。 脱壳直接在终端UPX -d 脱了就可以了。 运行发现直接是运行不了的，想到是不是因为脱壳后这个需要资源修复，各种操作修复后发现还是不可以。最后查询他人wp发现这个程序开启了ASLR。需要pe工具去关闭这个程序的ASLR。然后我就去查了ASLR是怎么关闭的，且其是什么东西。 ASLRASLR通过随机放置进程关键数据区域的地址空间

Vscode的简单调教前言VScode是比较适合自己使用的，因为非常的简洁且不臃肿，拓展性还好。并且自己常写代码是就是为了输入输出实现某些功能，基本用不到调试功能。但碍于难以配置各种环境，一直没有用上，失败了很多次。现在又学着整了一下，现在已经吃上了vscode的香。写个博客，记录一下，也可以分析下经验。 正常设置 在这里点击完设置以后，会出现：在这里可以设置vscode的各种地方，就如图中一样，需要自己探索一下，然后设置成自己想要的结果。 配置编译环境这里我只用到c/c++和Python就只记录这个了。输入C/C++在这里进行点个install。PYthon也是同样的操作。 让代码跑起来在应用商店里搜索Code Runner。这个是个神器，有了它就可以在vscode直接运行各种代码。安装好后把vscode关闭，然后重新打开。 新建个C/C++文件：然后右键是可以运行代码的。在右上角：这个小三角也可以运行代码。看下效果： 更改为终端输出我们改一下代码： #include int main() { int a; scanf(“%d”,&a

C语言与反汇编学习（五）前言主要是记录一下，在学习过程中认为容易忘记且重要的东西，方便以后忘了再来学习一下。集中于结构体部分以及结构体对齐的知识。 结构体的使用练习1、定义一个结构体Gamer用来存储一个游戏中的角色的信息，包括血值、等级、坐标等信息 。要求： (1) 具体包含哪些信息自由设计 (2) 但这些包含的类型中，必须要有一个成员是结构体类型。 2、定义一个函数，用来给这个结构体变量赋值.3、定义一个函数，用来显示这个结构体变量的所有成员信息. #include #include <stdio.h> #include <string.h> struct point { int x; int y; int z; }; struct Gamer { char name[20]; int level; float HP; point a; }No1; void Function(

Xctf_RE新手区WP前言学c与反汇编学的有点疲倦了，且实际运用比较少，所以最近一周刷了很多的Re入门题，巩固知识且熟悉下ctf中的RE题目。 re1第一步，先查壳：（查壳很重要，可以先确认是否有壳还可以知道程序是什么语言编写的）看下程序是干嘛的，也就是你输入flag然后程序出个判断是否正确。估计就是个明文对比，直接od打开：断在了re模块。直接搜索字符串拿到flag game还是先查壳：无壳这道题有多种做法，下面展示三种： 第一种这个做法主要是判断程序逻辑，然后改关键跳转的汇编代码，进行爆破破解。先看下程序是做什么的：先输入个1发现图案中第1，2，8行图形发生了变化。接着输入2，然后第3，4，8行图形发生了变化。感觉没什么规律，大概猜一下，应该是这8行的线条全部连通就可以完成这个游戏。 打开IDA进行静态分析发现一堆函数难以找到主函数，按shift+F12查看字符串点击这个，查看一下这个字符串的交叉引用，然后可以双击跳转到main函数，看整个程序的逻辑。 跳转好后按F5查看伪代码：在下方发现了一个判断语句，满足后会调用sub_45Ab4这个函数。双击进入看看这个函数做了什么：发现会

C语言与反汇编学习（四）前言本次主要学习以下内容 内存图 全局变量、局部变量 函数参数的分析 分支语句:if if...else... if..else if..else if....else分支语句的嵌套使用``的正向与逆向分析 内存图在电脑中任何一个程序运行时，其会在内存中分成以上图中的几个区域。详细每个区是怎么样的，直接看图即可。 全局变量、局部变量int g_n = 10; //全局变量 int Funcation() //代码区，调用时执行 { int x = 1;//局部变量 int y = 3; return g_n+x+y; } }就用这个代码段来分析。 全局变量的特点1、全局变量在程序编译完成后地址就已经确定下来了，只要程序启动，全局变量就已经存在了，启动后里面是否有值取决于声明时是否给定了初始值，如果没有，默认为0。2、全局变量的值可以被所有函数所修改，里面存储的是最后一次修改的值.3、全局变量所占内存会一直存在，知道整个进程结束.4、全局变量的反汇编识别：MOV 寄存器,byte/word/dword ptr ds:[0x123

C语言与反汇编学习（三）前言本次主要学习一下C语言的数据类型与数据存储。 数据类型 学习数据类型的三个要素1、存储数据的宽度2、存储数据的格式3、作用范围(作用域)这些都是谈起一个数据类型的基本要素。 整数类型：char short int long char 8BIT 1字节 short 16BIT 2字节 int 32BIT 4字节 long 32BIT 4字节 char i = 0xFF; short x =0xFF; long y =0xFF;我们来看下在汇编其是什么样的：注意byte word dword的区别。然后我们测试一下以下代码： char i = 0x12345678; short x = 0x12345678; long y = 0x12345678;然后看到还是byte word dword，并且也没有报错，但是我们运行以后可以看到这就说明你写了32位的数给char i这个8位的容器，这是允许的，但是只能装下8位，就从低位开始把78放入。 整数类型分为有符号(signed)和无符号(unsigned)两种： char i = 0xFF;