随笔分类 - 刷题
菜鸡的做题经历
摘要:hitcon_ctf_2019_one_punch 在2.29及以后得版本中对unsorded bin的进行了双向链表检查,故unsorted bin attack就不可以再用了,不过tcache stashing unlink attack 可以达到同样的效果 利用原理:就是我们从smallbin
阅读全文
摘要:jarvisoj_guestbook2 学完最新的几个house系列感觉基础不太好就在学习一下栈堆, 程序分析 就是一个菜单题,有一个uaf,版本是2.23,而且可以修改got表,就打一个unlink,修改atoi的got表 在程序开始前申请一个大chunk用来存放接下来申请的chunk的标志位,地
阅读全文
摘要:whctf2017_note_sys 最近太颓废了,zikh师傅上南京参加比赛了恭喜获得第五名,我太菜了,只能膜拜大佬。><,在学习一下vm pwn吧,正好zikh师傅写的一篇 保护 漏洞利用 主要就是利用删除,添加功能是在子进程中进行,并且都对一个地址进行操作,并且在删除功能中有一个2秒的休眠,可
阅读全文
摘要:whctf2017_stackoverflow 前几天做的一道题几乎都是看zikh26师傅的文章写的,自己太菜,源码也才开始看 保护策略 漏洞分析 可以泄露我们想要的地址,还有一个可以任意地址写一个0的机会 思路 1、利用%s没有截断就一直输出的效果得到一个libc地址 2、有一个置零的机会,又因为
阅读全文
摘要:gyctf_2020_bfnote 也是一道利用tls结构体来修改canary的题目,只不过这个是控制父进程的tls(父进程的tls结构体位于映射区,子进程的在栈的高地址处,其实都是在映射区,只不过子进程的栈也在映射区,故可能更好控制) 保护策略 漏洞利用 1、栈溢出的时候控制ebp打一个栈迁移到b
阅读全文
摘要:starctf2018_babystack 新知识 这道题又学到一个知识点,就是有关控制canary,之前所了解的就是他会生成一个随机数,然会放到一个寄存器中如下图64位时fs:28,32位时fs:14,在返回时会把这个寄存器中的数跟ebp里的数进行异或来检查是否被破坏,所以我以往绕过canary的
阅读全文
摘要:hctf2016_fheap 保护测略 程序分析 只有两个程序功能,创建和删除 这道题每申请一个chunk前会创造一个用于存放信息的chunk,这类的题一般是控制或改变用于存放信息的chunk来展开攻击, 而且当输入的大小小于0xf时会把信息放到存放信息的chunk中, 漏洞利用 这道题的漏洞就是u
阅读全文
摘要:ciscn_2019_final_4 我就是菜😜 保护测略 这道题自己写了一个沙箱规则,还有一些反调试,如果·想绕过反调试按照第三张图去把这些代码全部换成nop指令就行。 程序分析 堆题吗一般就是菜单题,只不过在堆开始之前可以向栈中输入0xff的数据,这道题也没有edit,只有一个uaf漏洞但是这
阅读全文
摘要:starctf_2019_girlfriend 这道题怎么说呢,我好菜,竟然做了快一下午><,本来是不想发这个博客的,因为以前做了一个这样的题,(由于那个题是zikh师傅出的题,还没有发布,就不再写了) 这道题主要是记一下realloc函数调节栈帧的用法 保护测略 版本是2.23的 程序分析 就是简
阅读全文
摘要:利用子进程去绕过父进程沙箱 做这道题前最好快照一下,要不然虚拟机很容易崩-_- 保护测略 沙箱是一个白名单,只允许exit,read,write,rt_sigreturn,看到rt_sigreturn,哎我发现我的srop还没学。真菜。 程序分析 程序很简单,就是利用pthread_create开启
阅读全文
摘要:sleepyHolder_hitcon_2016 今天才开通博客,欢迎各位大佬光临>_< 正好今天才做好一个有关unlink的题,(几个月前才学过,由于本人太菜,再加上栈没学好,学过之后就在作栈题,正好zikh师傅说这道题是个有意思的unlink,就在zikh师傅的帮助下做了一下)zikh师傅是一个
阅读全文