rwctf2021 Easy Escape
Recently I'm confused by my research. I need to publish a paper for my degree. It seems easy for a ctfer? But I think it's hard to write a…
Recently I'm confused by my research. I need to publish a paper for my degree. It seems easy for a ctfer? But I think it's hard to write a…
There are some stack overflow vulnerability in cisco IOS system like CVE-2017-6736 and CVE-2018-0171,but there are little exp or analysi…
原文链接:任意データ書き込みHeap-Sprayに使える構造体 前段时间在asis ctf里面看到一个kernel题,是一个slab的off by null。想起了之前看到的CVE-2016-6187的利用,但是调了半天还是没调出来,想了想自己确实也很久没有跟过kernel的…
本以为研究生的生活可以摸鱼,没想到研讨课一下子分了个讲v8的课题,没办法,只有硬着头皮上了。 参考资料: V8 Object 内存结构与属性访问 这篇文章正好也记录一下学习的过程,写文章的时候也可以顺便看看有哪些地方没搞清楚。这里以startctf 2018 的 oob一题,…
参考文章: 之前在bctf中遇到一道three,是一个没有leak的堆题,现在没有leak一股脑只能想到house of roman了,但是4096分之一的概率真的让人很痛苦。但是翻到出题人博客之后发现居然可以通过改写stdout来leak。 仔细复现之后,发现其中还设计到了…
miro 这道题的难点就是解密tls流量,而要解密tls的话必须拿到证书的私钥,当时看了一下证书用的是RSA1024,感觉没有办法,下来看wp发现居然有方法可以分解这个N了。 方法一 有一个工具叫yafu,可以直接分解。 方法二 emmmmm,似乎就是一个优化过的枚举。 分解…
hitcon每年都会出一些神题来让我认识自己是多么的弱小,这道题就是其中之一( 参考文章: 打开ida,习惯性地找到main函数,然后按了一下f5: 哇,这是什么鬼 于是决定看看汇编: emmmm,似乎没有啥问题。 然后就没啥思路了(orz 参考文章中提到,能改变程序流程的话…
参考的一些文章: 这次就用国赛的这道babydriver来作为kernel pwn的第一道题吧。 首先是kernel pwn要做的事情,就是在内核空间劫持控制流完成commit creds(prepare kernel cred(0))这一个调用,然后再平稳的返回用户空间开一…
这里就拿2017年国赛的babydriver一题,记录一下简单的环境搭建。 题目是给出了环境的,可以直接拿qemu启动。 当然,为了调试,我们人为加上两条 这时候运行脚本,qemu就停在了加载系统之前,拿gdb链接就可以了。 不过正常来说这时候还是不行的,在运行过程中有可能会…
拿到这道题的时候是一脸懵逼的,完全没有思路,于是在参考大佬的wp之后自己照着调了一个下午才明白这道题是怎么回事。 首先看看这道题的提示: Heap so fun! Baby, don’t do it first. nc 52.68.77.85 8731 note : the …
在0ctf 2017的时候,当时才开始学pwn,所以做不出来题似乎也给自己找了一点心安的理由。可是居然一直没有去回顾比赛中的题,过了这么久才发现里面的题质量真的是高。 其实之前比较熟悉的都是fast bin的一些东西,所以这次国赛的题也是吃了一回鳖。我就拿这次国赛的题,来记录…
其实这道题真的不难,写这篇文章的目的完全是因为很久没有更新过博客了,感觉要写点什么才好。 首先我们可以通过爆破登陆信息来泄露那16个随机的数字。 登陆之后可以发现有一次strcpy的机会,通过调试可以发现之前登陆的后面一些位数正好可以copy过去,覆盖随机生成的16个字节。 …
其实这道题主要的难点是在编写可打印的shellcode,而且长度限制为80字节,网上能找到的通用的大概都超过了这个长度。 首先整理一下在可打印范围内能用的汇编指令: 1.数据传送: push/pop eax... pusha/popa 2.算术运算: inc/dec eax.…
上次整理FILE结构体的时候还说以后有空再慢慢想利用吧,结果这么快就遇到一道利用FLIE结构体的题,收了自己的flag。 FILE结构体的一些信息可以看我之前的文不对题的文章浅析stdout。这道题的难点就在于伪造出一个合适的FILE结构体。 在调用fclose()的时候会调…
dubblesort --- 能从这道题学到的小技巧还是很多的。 首先是一种leak栈信息的办法,read没有在读入数据之后做处理,所以可以让字符串不以‘\\x00’结尾,之后用\"%s\"打印的时候就可以打印出栈上的信息。 经过动态调试可以发现,栈上有一个libc的地址,打印出来…
前段时间闲逛的时候发现了这个网站,看了一下,还有点小难,而且网上有关的wp也比较少,正好可以来练练自己的能力 start Just a start. 这道题就让我感觉到了有点小难,拖进ida之后发现这是个拿汇编写的程序 很明显是个栈溢出,第二次调用的sys read读取的内容…
这道题真tm迷 我们首先分析一下elf文件 这里是获取我们输入的字符串进行分析,如果是' '指针就增加1,'.' 输出指针指向的内容,',' 向指针写入 之后在main中发现这里对指针赋值为tape的地址 拿到shell的思路为改写got表中函数的地址 分为以下三步 1. 修…
pwn step0 题目描述: nc 121.42.25.113 10000 binary: step0是一个很简单的stack overflow原理展示,just read the disassembly code : ) Hint: 所谓的pwn嘛,你得分析包含漏洞的服务…