ciscn 2020 华中分区赛部分wp第一天跟6级冲突了，基本没玩，第二天做完一个题ida炸了，怎么也打不开。最近，总是关键时刻掉链子了😭。 logic_mistake分析 可以申请16个堆，size信息放在其chunk地址的下8个字节 通过strdup来进行申请堆， strdup 相当于s = input() malloc(stren(s)) edit函数 read(0, *((void **)&unk_202060 + 2 * v1), dword_202068[4 * v1]); 这里由于是这样的判断，结合add的strdup 就造成了堆溢出。 攻击思路 申请8个0x90大小的堆块，size 填成0xff，留着溢出 申请3个0x80大小的堆块，size 填成0xff，留着溢出 释放前8个堆，最后一个进入unsortbin 申请一个0x90的堆块，会申请到tcache的头的堆，也就是第7个堆 edit溢出修改到next chunk的size 和prev size，让show 出libc信息 接着修改unsortbin的size 为0x80，开始进行tcache

羊城杯2020部分wpreloginPython exe的逆向。其中在修复pyc时，个人不是很熟悉，记录一下： 在脱去以后，会有主程序，跟一个struct的文件。 要保证主程序与struct的前面的魔法字节是相同一样的。 重点关注前16个字节，保证相同即可。修复好pyc后，就可以进行反编译。剩下的就是逆算法，需要用到z3。 exp#!/usr/bin/env python2.7 from z3 import * ''' a1 = Int('a1') a2 = Int('a2') a3 = Int('a3') a4 = Int('a4') a5 = Int('a5') a6 = Int('a6') a7 = Int('a7') a8 = Int('a8') a9 = Int('a9') a10 = Int('a10') a11 = Int('a11') a12 = Int('a12

工控wpICS_8就是一个算法的逆向。 #!/usr/bin/env python2.7 import struct import base64 cypher_text = 'HgoAVxEfdCRlPytBA1JSHiVOZW4VMURPcANETw==' iv = struct.unpack("I", 'x1a0')[0] def decode(cypher_text,iv): cypher_text = base64.b64decode(cypher_text) padding = 4 - len(cypher_text) % 4 if padding != 0: cypher_text = cypher_text + "\x00" * padding l = cypher_text crypher = struct.unpack("I"*(len(l)/4),l) datas = [] datas += [ de

实战去除思科packet tracer登陆窗口背景专业课开设了路由交换这门课，其中要经常使用packet tracer这个软件，但是没有注册的话，每次登陆都需要等待15s，就尝试破解一下。 目标破除等待的15s，最好直接去除掉登陆窗口。但是老师上课给我们演示过，有个吾爱破解的插件是直接破解掉登陆窗口的，就直接奔着这个目标去。 工具 win7 模拟器 packet tracer 7.11 x64dbg 破解过程记录寻找突破口在弹出登陆界面时，最上方会有 netacad.com Login的字眼，先就选择这里作为关键字符串。在这个exe的程序下搜索字符串。端口可疑字符串对应的汇编指令。 然后开始f9一直运行，在这个netacad.com Login，运行其后的软件会发现，的确开启了登陆的窗口。这样就可以确定，关键处就在这里。向下看可以看到，一些登陆失败的字符串，那就无疑是这一块的函数控制着这个登陆窗口。 向上看可以看到，有几个小跳转，和一个大跳转，然后追过去可以发现，是可以绕过这些关键函数的。那就很简单了，尝试改成jmp 无条件跳转一下试一试。 然后直接运行一下，然后的确是成功了，

强网杯2020 部分题目babymessage分析 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x3fe000)基本保护不算多。 是一个伪堆题。 漏洞点在 leave_message(v1)函数这里的v1上来取值就是16 __int64 __fastcall leave_message(unsigned int a1) { int v1; // ST14_4 __int64 v3; // [rsp+18h] [rbp-8h] puts("message: "); v1 = read(0, &v3, a1); strncpy(buf, (const char *)&v3, v1); buf[v1] = 0; puts("done!\n"); return 0LL; } 进入以后可

ciscn 2020初赛部分题目rez3看起来像是非齐次线性方程，那就是就是一个解方程: from numpy import * import numpy as np a = np.array([[12, 53, 6,34,58,36,1], [83,85,12,73,27,96,52], [78,53,24,36,86,25,46], [39,78,52,9,62,37,84], [23,6,14,74,48,12,83], [27,85,92,42,48,15,72], [4,6,3,67,0,26,68]]) b = np.array([[20247],[40182],[36315],[36518],[26921],[39185],[16546]]) result=[] x = np.linalg.solve(a, b) result += x.tolist() b = np.array([[12094],[25270],[19330

安恒HWS夏令营选拔赛部分题目REIOT1环境搭建参考：https://www.cnblogs.com/csnd/p/11800622.html 注意网卡那块，要对应自己虚拟机网卡的情况。 启动命令：qemu-system-mipsel -M malta -hda openwrt-malta-le-root.ext4 -kernel openwrt-malta-le-vmlinux.elf -nographic -append "root=/dev/sda console=tty50" -net nic -net tap 把虚拟机中要分析的maze文件取出来scp -r /path/maze username@servername:/path 使用ghidra进行分析 fgets(buf,0x28,_stdin); len = strlen(buf); uStack68 = 0x20; if (*(char *)((int)&uStack68 + len + 3) == '\n') { *(undefined *)(

MacOS安装IDA插件keypatchmacOS 安装官方介绍的安装方式不太行。网上参考后记录一下。 cmakebrew install cmake gitgit clone https://github.com/fjh658/keystone-engine.git cd keystone-engine git submodule update --init --recursive sudo python2 setup.py install --verbose 此时在安装后的最后几段代码中，找到类似： /Library/Python/2.7/site-packages/keystone 这是本地python2.7的路径。 cpcp -r /Library/Python/2.7/site-packages/keystone /Applications/IDA\ Pro\ 7.0/ida.app/Contents/MacOS/python/lib/python2.7/lib-dynload/ sudo curl -L https://raw.githubusercontent.c

DASCTF安恒月赛(7th)只做出个签到题，tcl。。。 虚假的签到题简单的栈溢出，但是出题人估计是用了GCC>=4.9版本，故意给这个Stack Buffer Overflow 设置难度。 分析 0x80485fd <main+104>: mov ecx,DWORD PTR [ebp-0x4] 0x8048600 <main+107>: leave 0x8048601 <main+108>: lea esp,[ecx-0x4] 0x8048604 <main+111>: ret 这里我们可以看到，程序在对栈的保存上，额外使用了 ecx 来保存栈上的某个值。并且调试可以发现，如果我们直接overflow了 esp，那么会造成奇怪的影响。 试着分析一下： 想要控制esp，就得控制ecx 想要控制ecx，就得至少控制到ebp-0x4的位置 由于是gets的获取输入，这个明显很容易实现。 核心就是让： [ [ebp-0x4] - 0x4] = address(

BUUCTF暑假刷题(1)cmcc_simplerop分析静态链接。32位程序。用int 80h 这个中断调用，呼叫系统调用程序system_call().。 然后rop 控制EAX = 0Xb = 11，EBX = &(“/bin/sh”), ECX = EDX = 0，即执行了sys_execve("/bin/sh", 0, 0, 0)，即可拿到shell。 32位系统调用表：https://blog.csdn.net/xiaominthere/article/details/17287965 expfrom pwn import * import time local_file = './simplerop' local_libc = '/lib/x86_64-linux-gnu/libc.so.6' remote_libc = local_libc # '../libc.so.6 context.log_level = 'debug' debug = 0 if debug: io =