PwnKi

摘要： #系统调用 linux 的系统调用，是 linux 内核一种特殊的运行机制，使得用户空间的应用程序可以请求，像写入文件和打开套接字等特权级下的任务。在 linux 内核中发起一个系统调用是特别昂贵的操作，因为处理器需要中断当前正在执行的任务，切换内核模式的上下文，在系统调用处理完毕后跳转至用户空间。 阅读全文

摘要： #0x1 babyjsc 压缩包中有 server.py ,其中首先执行 size = int(input()) 同时压缩包中可以找到 flag 在靶机上的路径，所以尝试 python 逃逸即可。（非预期解，浏览器 pwn 被打了快 300 解 2333） nc 连上后，输入 __import__( 阅读全文

摘要： #前言 原来只知道 house of orange 打 unsorted bin ，碰到题目发现还可以打 fast bin ，今天就具体研究一下源码（glibc-2.23）。 #分析 当所有的 bins 和 top chunk 都不满足分配要求，且 fast bin 合并后，再次循环中也找不到满足分 阅读全文

摘要： 20 年比赛已经出现了好几道 Brainfuck 的 vm pwn 了，补一下 Brainfuck 的知识。 #简介 Brainfuck 是一种简单的、可以用最小的编译器来实现的、符合图灵完全思想的编程语言，它是由 Urban Müller 在 1993 年创造的，简称为 bf。Brainfuck 阅读全文

摘要： 第一次遇见这种组合，留个记录. ciscn_final_4(反调试+在栈上伪造堆chunk) ciscn_2019_final_4 阅读全文

摘要： ##exp from pwn_debug import * file_name = './ciscn_s_1' libc_name = './libc/libc-2.27.so' context.binary = file_name context.log_level = 'debug' #cont 阅读全文

摘要： #思路 记录一下思路，具体分析可以参考BUUCTF-PWN刷题记录-5（Tcache） 题目保护全开，所以只能靠写 hook 了。题目的漏洞是 strcpy 造成的 null by one 。 具体步骤： leak libc 分配三个 chunk （0，1，2），通过 null by one 覆盖 阅读全文

摘要： #思路 这题有意思，记录一下思路，具体分析可以参考de1ctf_2019_weapon (IO_FILE) 这题保护全开，又没有 show 函数，想了半天，看 wp 才想起还能爆破 IO_FILE 来泄露 libc 地址，之后便是常规 fastbin attack 拿 shell 了。 具体步骤： 阅读全文

摘要： #exp from pwn_debug import * context.binary = './ciscn_s_6' context.log_level = 'debug' pdbg = pwn_debug('./ciscn_s_6') pdbg.local('/home/ki/glibc-all 阅读全文

摘要： #exp from pwn import * #p = process('./bjdctf_2020_YDSneedGrirlfriend') p = remote('node3.buuoj.cn',27389) context.binary = './bjdctf_2020_YDSneedGrir 阅读全文

摘要： #exp from pwn import * context.log_level = 'debug' p = process('./wdb_2018_2nd_easyfmt') #p = process('./idaidg/linux_server') #p = remote('node3.buuo 阅读全文

摘要： 第一次使用 alpha3 ，记录一下。 BUUCTF-PWN刷题记录-9 阅读全文

摘要： #思路 简单记录一下思路，具体分析可以参考BUUCTF-PWN刷题记录-7 文件保护全开，got 表不可写，那就想办法覆盖 __free_hook 或者 __malloc_hook 。 具体步骤： 分配 unsorted bin chunk ，free 进内存，在 fd 指针处踩出 main_are 阅读全文

摘要： #简介 之前有了解过这个技术，简单记录一下思路，具体分析可以参考wdb2018_guess stack smashing stack smashing 在程序加了 carry 保护后，如果我们的输入覆盖了 carry ，程序就会报错，而报错代码如下： void __attribute__ ((nor 阅读全文

摘要： #思路 简单记录一下思路，具体分析可以参考bcloud_bctf_2016(house of force) 题目没有开启 pie 跟 got 表不可写，那就可以通过修改 got 表来泄露 libc 跟 get shell 。 具体步骤： 题目存在 off by null 漏洞，可以利用它跟 strc 阅读全文

摘要： #思路 题目没有开启 pie 个 got 表不可写，所以我们可以通过修改 got 表来泄露 libc 跟 get shell 。 具体步骤： 首先分配两个 chunk 。（其实是 4 个，有两个 chunk 用于记录 size 跟 chunk_addr） 通过 edit 的 off by one 漏 阅读全文

摘要： calloc calloc 有以下特性 不会分配 tcache chunk 中的 chunk 。 tcache 有以下特性 在分配 fastbin 中的 chunk 时若还有其他相同大小的 fastbin_chunk 则把它们全部放入 tcache 中。 #思路 题目给了 backdoor 函数，只 阅读全文

摘要： #简介 简单的记录下思路，具体分析可以参考L.o.W 师傅的博客 ##思路 题目没有开启 pie 以及 got 表不可写，所以我们可以利用修改 got 表的方式进行 leak 跟 get shell。 chunk overlap 堆风水排布，主要利用 idx 为 16 的 chunk 的特殊性来造成 阅读全文

摘要： #思路 p1ay2win 师傅的博客已经写得很详细了，这里就不赘述了，简单记录一下思路。 本题有两种思路。 ##思路一：伪造 vtable ###整体思路 IO_FILE_PLUS 文件结构中有个 vtable 指针指向存储一些函数指针的 IO_jump_t 结构体，这些函数指针在 puts/pri 阅读全文

摘要： #Format String Vulnerability Principle ##格式化字符串函数介绍 格式化字符串函数可以接受可变数量的参数，并将第一个参数作为格式化字符串，根据其来解析之后的参数。通俗来说，格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。几乎所有的C/ 阅读全文