太湖杯ctf2020部分wp 太湖杯ctf2020部分wpseven hero手快,拿了个三血。还是挺开心的🤣 realloc size 0 制造出free效果,配合del函数,达成uaf 利用libc 2.29的fastbin 的stash机制,完成tcache attack exp#!/usr/bin/env python # encoding: utf-8 from pwn import * import time 2020-11-08 pwn wp
铁人三项2020第二赛区 pwn 铁人三项2020第二赛区 pwnstackstorm程序存在栈溢出可以溢出0x10的字节,考虑栈迁移。一共可以触发2次,第一次用来泄漏出栈地址,第二次用泄漏的栈地址,栈迁移,在可控的输入区,进行rop,泄漏出libc地址。然后,让其返回start开始处,清理栈进行第3次的漏洞利用,这个时候时间覆盖返回地址为one gadget即可。 #!/usr/bin/env python # encoding 2020-11-04 pwn wp
湖湘杯ctf2020部分wp 湖湘杯ctf2020部分wpblend pwn漏洞点 uaf (del的函数) fmt (show name 的函数) 后门函数存在栈溢出 思路先用fmt泄漏出来栈地址 libc地址备用,然后发现只能申请2次的chunk,已经不能进行fastbin attack,只能泄漏一下heap地址,重点研究下后门函数。 unsigned __int64 backdoor() { _QWORD 2020-11-04 pwn wp
Heap Exploit 2.31 相关学习 Heap Exploit 2.31 相关学习tcache_stashing_unlink示例代码#include <stdio.h> #include <stdlib.h> #include <inttypes.h> static uint64_t victim = 0; int main(int argc, char **argv){ setb 2020-10-29 pwn 学习记录 heap
Bytectf2020部分wp Bytectf2020部分wpeasyheap分析程序很简单,但是漏洞点比较隐蔽。 此处第一次申请chunk时的size,作为后面一个偏移来写0。如果故意第一次时输入不是0~0x80的范围,其就可以实现任意地址写0。其中这个v2也可以是负数。 攻击思路 leak libc 在tcache chain上写个0,用tcache attcak打free hook free 一个带有/bin/sh\x00 2020-10-27 pwn wp
N1CTF2020部分wp N1CTF2020部分wpsignin调试one gadget 花了近4小时。。😭 分析c++写的程序,存在add show del的功能,但是进入各自的函数看,看的是稀里糊涂的。个人发现的只是其按照自己的逻辑对内存块idx 1,2进行处理。 因为功能很简单,可以直接上手调试,来确定程序是如何运作的。 上手调试后会发现,其根据3个指针来对idx 1、2 处理。 动调分析def add(idx,d 2020-10-19 re pwn heap
House of Spirit House of SpiritHouse of Spirit(下面称为hos)是一个组合型漏洞的利用,是变量覆盖和堆管理机制的组合利用,关键在于能够覆盖一个堆指针变量,使其指向可控的区域,只要构造好数据,释放后系统会错误的将该区域作为堆块放到相应的fastbin里面,最后再分配出来的时候,就有可能改写我们目标区域(多为函数指针和返回地址)。 核心条件 有机会覆盖一个堆指针变量,使其指向目标可控的区 2020-10-09 pwn House系列 heap
西湖论剑部分wp 西湖论剑部分wpmmutag分析 给了一个栈地址 没有show函数 free 函数存在uaf add函数只能申请堆号为1-10的堆块,大小仅为0x68 可以给栈上读一段数据 char buf; // [rsp+10h] [rbp-20h] if ( v3 != 3 ) break; read(0, &buf, 0x20uLL); printf("Your c 2020-10-09 pwn
mac 上ida 7.0 闪退 打不开 解决办法 mac 上ida 7.0 闪退 打不开 解决办法情景1下载以后直接不能用的。 https://github.com/fjh658/IDA7.0_SP https://github.com/swfangzhang/IDA-pro-7-for-Catalina-OSX-15 参考这个两个github的项目即可。 情景2平时正常使用,突然因为装了冲突的插件打不开ida,直接crash。或者莫名点击ida 2020-10-06 杂项
BUUCTF 刷题记录 BUUCTF刷题记录GKCTF 2020 demo分析开启了沙箱,不过在main函数的最后,在while循环里做动作就不会触发到。其中add和free 函数,上来都会检测free_hook malloc_hook 是否不为0,不为0就不让进行相应的操作。 漏洞点if ( (nbytes & 0x80000000) == 0LL && nbytes <= 0x120 ) 2020-09-28 pwn