第一次打国外的比赛,由于好几道pwn题出的非常萌新,所以做起来比较舒服(我做出来了三道shellcode闯关和两道无保护的栈题)。其中有两道题的代码是一样的,一个是32位的,一个是64位的。整体利用思路一样,我就详细说一下32位的,64位的这个题同理。 Tutorial 这道题32位和64位的附件我 阅读全文
ez_aarch 总结: 考察的是最简单的arm架构的栈溢出。 保护策略 关于arm架构是怎么启动程序和调试的,可以参考一下我的这篇博客 这里存在溢出,同时题目给了后面,并且很巧合的没开canary,因此这就是最简单的栈溢出题目,不过考虑到这是arm架构的题目跟x86的函数调用还不太一样,没法一眼就 阅读全文
关于unlink的学习总结,我打算分成4个部分来说明,分别是unlink的利用整体思路、如何伪造fake_chunk、探究下unlink漏洞是如何实现的、相关题目的WP。我这篇博客并没有画图片来说明unlink的操作,我认为不是特别适合完全不懂unlink的师傅来参考学习,建议去看一些其他师傅一些画 阅读全文
我将自己写的一些方便解PWN题的~~鸡肋~~函数封装到了这个库里,第一是平常用起来方便顺手,第二顺便练习下编程能力,第三如果以后有可能的话,希望逐渐做成像roderick师傅的pwncli那样。 之后这个库不在博客园上再进行更新,最新的代码在新博客 这个库只支持python3 源代码 from as 阅读全文
因为打CTF pwn题的时候,经常遇见本地程序的libc与远程服务器那边程序所依赖的libc不匹配的情况,尽管可以用patchelf和glibc-all-in-one来给程序patch一个libc。但是patchelf似乎有点小bug,为了防止比赛的时候在这个地方掉链子,因此可以采用在docker里 阅读全文
## 总结: 通过这道题的学习与收获有: 1、本题的核心是劫持__free_hook。利用memcpy溢出,更改free状态堆块的fd指针,将其改写完__free_hook的地址,然后申请回来,写入system地址,最终free掉存有/bin/sh的堆块获取shell。 2、学会了新技能——使用I 阅读全文
patchup 前言 该工具是我自用的一个小工具(针对于做pwn题的辅助工具)(本工具的实现非常简单,而且这个工具的核心是依赖patchelf和glibc-all-in-one这两个工具),用于快速修改本地ELF文件的libc使其与远程服务器那边所运行的程序依赖的libc库一样 从而避免了因为 li 阅读全文
# 总结: 通过这道题的学习与收获有: 1、close 关闭了标准输出时,可以用格式化字符串漏洞来将stdout指向的内容修改成IO_2_1_stderr,让程序重新有回显,关于这个过程我画了张图方便自己理解。 2、已经拿到libc基地址的时候,我们所需要的gadget就可以直接去libc中拿,l 阅读全文
总结: 通过这道题的学习与总结: 1、rep指令是进行循环,movs qword ptr [rdi],qword ptr[rsi]则可以拷贝,二者结合就是可以大规模拷贝数据到另一个内存空间。而想实现它,仅仅只需要控制rdi和rsi以及rcx寄存器即可。 2、我们往可读可写可执行的内存中写入的任何机器 阅读全文
总结: 通过这道题的学习与收获有: 1、学习了格式化字符串漏洞中的%s泄露函数地址原理以及roderick师傅写的Libcbox的用法(其实用法也很简单了),之后就没什么了直接ret2libc就打了。 2、这道赛题最后只有三解... 不过真的很简单,做出来的人很少的原因估计是因为这道题是比赛还有不到 阅读全文
