CH13hh

摘要： ASM Checksec检查保护 基本上保护都关闭了 64位ida逆向 程序只有一段，并且返回地址就是输入的数据，看起来就是srop了，找一下可以用的gadget 通过异或清空rax值，然后通过异或ecx和1，异或rax和rcx即可增加rax的值，同理左移一位同样可以增加rax的值，将rax增加到0 阅读全文

摘要： 由于最近比赛有点多，而且赶上招新，导致原本应该及时总结的比赛搁置了，总结来说还是得多练，因为时间很短像这种线下赛，一般只有几个小时，所以思路一定要清晰，我还是经验太少了，导致比赛力不从心，先鸽了~ Skill checksec 检查保护（没有开PIE和Canary） ida逆向分析一下 不同的选项对 阅读全文

摘要： [2024领航杯] Pwn方向题解 babyheap 前言： 当然这个比赛我没有参加，是江苏省的一个比赛，附件是XiDP师傅在比赛结束之后发给我的，最近事情有点多，当时搁置了一天，昨天下午想起来这个事情，才开始看题目，XiDP师傅说是2.35版本的libc，确实高版本libc的却棘手，我经验太浅了调 阅读全文

摘要： house_of_muney 首先介绍一下house of muney 这个利用原理： 在了解过_dl_runtime_resolve的前提下，当程序保护开了延迟绑定的时候，程序第一次调用相关函数的时候会执行下面的命令 push n push ModuleID jmp _dl_runtime_res 阅读全文

摘要： house_of_cat 前言： house of cat 这个利用手法和前面提到的 house of kiwi ，和 house of emma 利用的手法是一个链子，当程序无法通过main函数返回时候，或者程序不能显性调用exit函数的时候，我们可以通过 __malloc_assert 来刷新I 阅读全文

摘要： house_of_emma 前言： 相比较于house_of_kiwi（house_of_kiwi），house_of_emma的手法更加***钻，而且威力更大，条件比较宽松，只需要lagebin_attack即可完成。 当然把两着放到一起是因为它们都利用了__malloc_assest来刷新IO流，不 阅读全文

摘要： house of kiwi 前言：house_of_kiwi 一般是通过触发__malloc_assert来刷新IO流，最后可以劫持程序流或者通过和setcontext来打配合来进行栈迁移来得到flag。 我们看看触发的源码 #if IS_IN (libc) #ifndef NDEBUG # def 阅读全文

摘要： 起初是为了简化做pwn题目时，来回更换libc的麻烦，为了简化命令，弄了一个小脚本，可以加入到/usr/local/bin中，当作一个快捷指令🔢 这个写在了tools库（git clone https://github.com/CH13hh/tools.github.io ）里面，如果有需要的话， 阅读全文

摘要： 常回家看看之tcachebin-attack 自从glibc2.26之后出现了新的堆管理机制，及引用了tcachebin机制，tcachebin也是主要分配小堆块的，有40条bin链（0x10 - 0x410） 那么这样的分配有很多和smallbin 和fastbin重叠的部分，及malloc申请之 阅读全文

摘要： 常回家看看之fastbin_attack 原理分析 fastbin属于小堆块的管理，这里说的fastbin_attack大多指glibc2.26之前的手法，因为自glibc2.26以后，glibc迎来了一位新成员tcachebin，它减少了堆的开销，使堆管理变得迅速而高效，而且申请的小堆块会优先进入 阅读全文