文章列表

9.6k 9 分钟

# 国城杯_pwn-wp 这次的 pwn 整体难度不算高,难道 pwn 手的春天到了( # vtable_hijack 写这 vtable,其实一点没用,2.23 的 heap,直接改 malloc_hook 为 ogg 即可 很明显,在 dele 函数上没有指针置 NULL,UAF 即可 没有现在堆块的大小。所以看着两个是真的挺签到的,并且 edit show 也有。 '''huan_attack_pwn'''import sysfrom pwn import *# from pwncli import *# from...
4.3k 4 分钟

# 24 古剑山 WP_pwn # Pwn | in 这个题目唯一的坑就是 len = size 是在循环前面,只要先赋值一下 len,可以指定堆块的地方进行任意写。 '''huan_attack_pwn'''import sysfrom pwn import *# from pwncli import *# from LibcSearcher import *# from ctypes import *context.terminal = ['tmux', 'splitw', '-h',...
14k 13 分钟

# ISCTF 2024 好久没更新 blog 了,随便更新一篇近期的比赛吧。 # Netcat # girlfriend s1 要匹配 admin,通过 read 读入 buf,将 s1 处覆盖成 admin 在 vuln 函数有数组越界改写漏洞,通过越界改写 i,从而 sacnf 可以改写返回 exp 如下 '''huan_attack_pwn'''import sysfrom pwn import *# from LibcSearcher import *# from ctypes import *#...
16k 14 分钟

# house-of-apple 前言: 正好打 24 年羊城杯做了看了一道 house-of-apple 的题目,拿来水水 blog。 漏洞成因 堆溢出写,uaf 适用范围 2.23 —— 至今 程序从 main 函数返回或能调用 exit 函数 能泄露出 heap 地址和 libc 地址 能使用一次 largebin attack (一次即可) 接下来直接去将这道题的做题手法 # TravelGraph 利用手法 通过构造合理堆块,free 后残留指针泄露 libc 和 heap 利用堆风水,构造 1 次 largebin attack ,替换 _IO_list_all...
13k 11 分钟

# TFC CTF PWN # GUARD-THE-BYPASS 136 points PWN Luma 63 solves EASY Guard this cookie. Note: If you successfully create a working exploit in the provided Docker, ensure you try the exploit multiple times on the remote system if any issues...
3.7k 3 分钟

# 堆上格式化字符利用 # 利用思路: 在堆上利用格式化字符串,需要注意几个问题 其实和别的格式化字符串几乎一样,只不过可以多一个利用思路,可以解 system (’/bin/sh’) 写入 chunk 块,篡改 ebp 或 rbp,在有返回地址的情况下 leave ret 之后,进行栈迁移,迁到 system (’/bin/sh’) 那部分地址的 - 4 或 - 8...
13k 11 分钟

# house-of-rabbit 漏洞成因 堆溢出写、 use after free 、 edit after free 适用范围 2.23 —— 2.31 超过 0x400 大小的堆分配 可以写 fastbin 的 fd 或者 size 域 # 概要: 通过将 chunk 置入 fastbin 内,修改其 fd 指向 fake chunk,然后分配或释放大块,触发 malloc_consolidate ,此时 fake chunk 被放置到 unsortedbin 或对应的 smallbins 或 largebins 内 # 绕过检测: #define...
7.8k 7 分钟

# tcache-stashing-unlink-attack house-of-lore 结合 tcache 的一套攻击流程 漏洞成因 堆溢出、 use after free 、 edit after free 适用范围 2.23 —— 2.31 需要泄露或已知地址 # 概要: 通 uaf 修改 smallbin 大小的 free_chunk 的 bk 指针到目的地址,同时伪造目的地址的 fd 指针指向将被 free 的 chunk。从而实现获取一个任意地址分配的能力 # 绕过检测: if (__glibc_unlikely (bck->fd != victim))...
13k 12 分钟

# 0720_DASCTF_pwn # springboard 考察非栈上格式化字符串 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x3fe000) 该程序是动态连接的 该程序有符号表可用 int __cdecl main(int argc, const char **argv, const char **envp){ int i; // [rsp+Ch] [rbp-4h] myinit(argc, argv, envp);...
3.8k 3 分钟

# house-of-force 漏洞成因 堆溢出写 适用范围 2.23 —— 2.27 可分配任意大小的 chunk 需要泄露或已知地址 # 概要: 堆溢出写 topchunk 的 size,使得 size 值很大。可以申请到一些可利用地址 # 绕过检测: victim = av->top;// 获取当前 top chunk 的地址 size = chunksize (victim);// 计算 top chunk 的大小 if ((unsigned long) (size) >= (unsigned long) (nb + MINSIZE)) //MINSIZE...