祥云杯2020CTF部分pwn wp 祥云杯2020CTF部分pwn wpBeauty_Of_ChangChun漏洞点 del函数中存在uaf的漏洞,且只对byte位的size清0,0x100的chunk不受影响 存在后门函数 利用思路开始程序就把flag读入了一个特定的内存中,并且后门函数中,只需确定flag字符串前8位字节的具体值即可拿到flag。所以可以用Tcache Stashing Unlink ,往flag 前的8位写 2020-11-23 pwn wp
Unsorted\_Bin\_Attack再学习 Unsorted_Bin_Attack 再学习感觉自己对Unsorted_Bin_Attack掌握的不是很好,最初学习时,也没有对着源码进行学习分析。决定再总结和学习一下。 基本来源和知识来源 当一个较大的 chunk 被分割成两半后,如果剩下的部分大于 MINSIZE,就会被放到 unsorted bin 中。 释放一个不属于 fast bin 的 chunk,并且该 chunk 不和 top 2020-11-18 pwn 学习记录 unsortedbin
第六届上海市网络安全邀请赛2020CTF部分wp 第六届上海市网络安全邀请赛2020CTF部分wp签到echo "ZmxhZ3t3MzFjMG1lNX0=" | base64 -d | tr 5 6 flag{w31c0me6} lgtwo漏洞点v1 = sizelist[i]; sizelist[i] = v1 + 1; Add函数存在off by one 攻击思路 off by one 构造chunk overl 2020-11-14 pwn wp
Nov. 刷题记录 Nov.刷题记录BUUCTF 红包题3Tcache Stashing Unlink Attack 练手题。 漏洞点 uaf 利用0x400 与 0x300构造出2个0x90的smallbin,进行Tcache Stashing Unlink Attack 即可。 exp#!/usr/bin/env python # encoding: utf-8 from pwn import * import 2020-11-12 pwn
太湖杯ctf2020部分wp 太湖杯ctf2020部分wpseven hero手快,拿了个三血。还是挺开心的🤣 realloc size 0 制造出free效果,配合del函数,达成uaf 利用libc 2.29的fastbin 的stash机制,完成tcache attack exp#!/usr/bin/env python # encoding: utf-8 from pwn import * import time 2020-11-08 pwn wp
铁人三项2020第二赛区 pwn 铁人三项2020第二赛区 pwnstackstorm程序存在栈溢出可以溢出0x10的字节,考虑栈迁移。一共可以触发2次,第一次用来泄漏出栈地址,第二次用泄漏的栈地址,栈迁移,在可控的输入区,进行rop,泄漏出libc地址。然后,让其返回start开始处,清理栈进行第3次的漏洞利用,这个时候时间覆盖返回地址为one gadget即可。 #!/usr/bin/env python # encoding 2020-11-04 pwn wp
湖湘杯ctf2020部分wp 湖湘杯ctf2020部分wpblend pwn漏洞点 uaf (del的函数) fmt (show name 的函数) 后门函数存在栈溢出 思路先用fmt泄漏出来栈地址 libc地址备用,然后发现只能申请2次的chunk,已经不能进行fastbin attack,只能泄漏一下heap地址,重点研究下后门函数。 unsigned __int64 backdoor() { _QWORD 2020-11-04 pwn wp
glibc 2.29引入stash 机制后引起的相关漏洞学习 glibc 2.29引入stash 机制后引起的相关漏洞学习本文首发于安全客:https://www.anquanke.com/post/id/222079以下示例的libc源码均为libc2.31. fastbin的stash机制这里分析一下对于fastbin的stash机制 if ((unsigned long)(nb) <= (unsigned long)(get_max_fast( 2020-10-29 pwn heap 学习记录
Bytectf2020部分wp Bytectf2020部分wpeasyheap分析程序很简单,但是漏洞点比较隐蔽。 此处第一次申请chunk时的size,作为后面一个偏移来写0。如果故意第一次时输入不是0~0x80的范围,其就可以实现任意地址写0。其中这个v2也可以是负数。 攻击思路 leak libc 在tcache chain上写个0,用tcache attcak打free hook free 一个带有/bin/sh\x00 2020-10-27 pwn wp
N1CTF2020部分wp N1CTF2020部分wpsignin调试one gadget 花了近4小时。。😭 分析c++写的程序,存在add show del的功能,但是进入各自的函数看,看的是稀里糊涂的。个人发现的只是其按照自己的逻辑对内存块idx 1,2进行处理。 因为功能很简单,可以直接上手调试,来确定程序是如何运作的。 上手调试后会发现,其根据3个指针来对idx 1、2 处理。 动调分析def add(idx,d 2020-10-19 re pwn heap