摘要:
ezhttp: 题目附件 这一题输入的数据有些麻烦,但是仔细分析还是不难的。memcpy不会被'\x00'截断。 利用思路: 泄漏chunk addr,这一步非常简单。 修改_IO_2_1_stdout_泄漏libc地址。其中flag值的高4位可以随便覆盖,不会影响程序。 利用double free 阅读全文
摘要:
调试mips可执行文件 之前为了调试mips架构的ELF文件想从源码编译一个gdb,无奈参考各种教程后还是疯狂报错(我到现在还每成功编译过任何东西),只能去网上找其它办法。 无意中发现一个好东西——gdb-multiarch。这个gdb可以调试各种架构的可执行文件。假设我们有个可执行文件,如下: p 阅读全文
摘要:
BOOM1 题目附件 看了大佬博客后,这题我还是没怎么整明白。 看到这么一串东西那这个大概是手动实现了一个简易的C语言编译器。经过多次尝试发现程序没有什么限制。所以我们直接写程序开始利用。 #!/usr/bin/python3 from pwn import * context.terminal = 阅读全文
摘要:
veryeasy 题目附件 这题保护全开,不太好利用。 漏洞 在free后没用清空指针,存在UAF。 这里需要注意的是存在对free次数的检查,但是if语句中是无符号数的比较。通过Add 9个以上的chunk使DAT_00302010的值为-1绕过检查。 利用过程 glibc版本是2.27,tcac 阅读全文
摘要:
最近给VIM装了几个插件,不得不说还挺好用的。 NERDTree: o:打开或关闭目录,打开当前文件 p:返回当前文件或目录的第一级父目录 P:返回根目录 x:关闭当前节点的第一级父目录 X:递归合拢选中节点下的所有目录 m:显示该插件菜单 阅读全文
摘要:
nofree: 题目附件 漏洞: 程序提供了一个Add和Edit函数,函数比较简单,就不分析了。这题的漏洞点在于用strdup函数来开辟堆。strdup函数是通过计算字符串的长度来确定堆的大小。如果我们在Add时输入大小为0x90,但输入的字符串只有0x10大小,那么在调用Edit函数时就存在堆溢出 阅读全文
摘要:
换Linux系统快半年了,刚开始总是碰到各种各样的问题,虽然斗解决了,由于没有记录,过一段时间就忘了,故在这里记录一下。 选择国内镜像源: Manjaro有一个很好用的命令rankmirrors。rankmirrors -h可以查看帮助,如下: Version 4.16.4 USAGE: pacma 阅读全文
摘要:
今年校赛有点可惜,最后两道质量不错的pwn每做出来,总的来说还是我太菜了,希望下次校赛能AK pwn题。不过这次校赛也没有白打,还是有学到新的东西的。在这里感谢出题的学长。 glibc-2.29以后unsortbin attack不能用了,不过可以通过把多余的chunk移入tcache实现。下面从源 阅读全文
摘要:
电脑系统换到Linux快半年了,之前一直没有解决的问题是怎么上google,毕竟有些东西还是google上好找一点。最近不想复习,没想到自己成功搭了个梯子,着实把惊喜了我一把。下面记录一下过程。 首先需要买个vps,我用的是vultr,如果读者也想用vultr,可以通过我推荐的链接下载,有优惠,将当 阅读全文