# 国城杯_pwn-wp 这次的 pwn 整体难度不算高，难道 pwn 手的春天到了（ # vtable_hijack 写这 vtable，其实一点没用，2.23 的 heap，直接改 malloc_hook 为 ogg 即可 很明显，在 dele 函数上没有指针置 NULL，UAF 即可 没有现在堆块的大小。所以看着两个是真的挺签到的，并且 edit show 也有。 '''huan_attack_pwn'''import sysfrom pwn import *# from pwncli import *# from...

# 24 古剑山 WP_pwn # Pwn | in 这个题目唯一的坑就是 len = size 是在循环前面，只要先赋值一下 len，可以指定堆块的地方进行任意写。 '''huan_attack_pwn'''import sysfrom pwn import *# from pwncli import *# from LibcSearcher import *# from ctypes import *context.terminal = ['tmux', 'splitw', '-h',...

# ISCTF 2024 好久没更新 blog 了，随便更新一篇近期的比赛吧。 # Netcat # girlfriend s1 要匹配 admin，通过 read 读入 buf，将 s1 处覆盖成 admin 在 vuln 函数有数组越界改写漏洞，通过越界改写 i，从而 sacnf 可以改写返回 exp 如下 '''huan_attack_pwn'''import sysfrom pwn import *# from LibcSearcher import *# from ctypes import *#...

# house-of-apple 前言: 正好打 24 年羊城杯做了看了一道 house-of-apple 的题目，拿来水水 blog。 漏洞成因 堆溢出写，uaf 适用范围 2.23 —— 至今 程序从 main 函数返回或能调用 exit 函数 能泄露出 heap 地址和 libc 地址 能使用一次 largebin attack （一次即可） 接下来直接去将这道题的做题手法 # TravelGraph 利用手法 通过构造合理堆块，free 后残留指针泄露 libc 和 heap 利用堆风水，构造 1 次 largebin attack ，替换 _IO_list_all...

# TFC CTF PWN # GUARD-THE-BYPASS 136 points PWN Luma 63 solves EASY Guard this cookie. Note: If you successfully create a working exploit in the provided Docker, ensure you try the exploit multiple times on the remote system if any issues...

# 堆上格式化字符利用 # 利用思路： 在堆上利用格式化字符串，需要注意几个问题 其实和别的格式化字符串几乎一样，只不过可以多一个利用思路，可以解 system (’/bin/sh’) 写入 chunk 块，篡改 ebp 或 rbp，在有返回地址的情况下 leave ret 之后，进行栈迁移，迁到 system (’/bin/sh’) 那部分地址的 - 4 或 - 8...

# house-of-rabbit 漏洞成因 堆溢出写、 use after free 、 edit after free 适用范围 2.23 —— 2.31 超过 0x400 大小的堆分配 可以写 fastbin 的 fd 或者 size 域 # 概要： 通过将 chunk 置入 fastbin 内，修改其 fd 指向 fake chunk，然后分配或释放大块，触发 malloc_consolidate ，此时 fake chunk 被放置到 unsortedbin 或对应的 smallbins 或 largebins 内 # 绕过检测： #define...

# tcache-stashing-unlink-attack house-of-lore 结合 tcache 的一套攻击流程 漏洞成因 堆溢出、 use after free 、 edit after free 适用范围 2.23 —— 2.31 需要泄露或已知地址 # 概要： 通 uaf 修改 smallbin 大小的 free_chunk 的 bk 指针到目的地址，同时伪造目的地址的 fd 指针指向将被 free 的 chunk。从而实现获取一个任意地址分配的能力 # 绕过检测： if (__glibc_unlikely (bck->fd != victim))...

# 0720_DASCTF_pwn # springboard 考察非栈上格式化字符串 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x3fe000) 该程序是动态连接的 该程序有符号表可用 int __cdecl main(int argc, const char **argv, const char **envp){ int i; // [rsp+Ch] [rbp-4h] myinit(argc, argv, envp);...

# house-of-force 漏洞成因 堆溢出写 适用范围 2.23 —— 2.27 可分配任意大小的 chunk 需要泄露或已知地址 # 概要： 堆溢出写 topchunk 的 size，使得 size 值很大。可以申请到一些可利用地址 # 绕过检测： victim = av->top;// 获取当前 top chunk 的地址 size = chunksize (victim);// 计算 top chunk 的大小 if ((unsigned long) (size) >= (unsigned long) (nb + MINSIZE)) //MINSIZE...