随笔分类 - buuctf
菜鸡的自我修养
摘要:例行检查我就不放了 漏洞点在merge这个函数 可以看到他将俩chunk进行拼接,并且把chunk的内容复制到新的chunk里面了 但是strcpy和strcat都有着一个特性就是遇到\x00就会停止, 假设我们将0x30和0x38的chunk合并,因为\x00给我们覆盖了所以他就会把下一个chun
阅读全文
摘要:程序的例行检查我就不放了,这道题我学到了从libc地址获取到栈地址的新思路 来源:(22条消息) ciscn_final_4(反调试+在栈上伪造堆chunk)_seaaseesa的博客-CSDN博客 程序漏洞很明显,uaf漏洞,这道题目开启了沙箱不允许,所以我们通过orw的方式获取到flag 这道题
阅读全文
摘要:很长时间没有做题了,从今天开始做pwn题回忆知识 例行检查我就不放了 edit界面 可以看到存在一个off by null show函数 题目没给key2,所以需要我们给key2加参才可以使用这个功能 add函数 程序将申请的chunk指针存放在了heap出 看到这点我瞬间想到了unlink的打法,
阅读全文
摘要:又是一个小技巧! 例行检查我就不放了 这道题没有got表,所有的函数实现都是由系统调用的方式去实现的, 看到题目的第一时间就想到了通过open read write的方式去获得flag 但是题目环境中确少了open这个函数 这里就不得不提alarm函数的妙用了 当第一次调用alarm函数的时候,会进
阅读全文
摘要:题目的例行检查我就不放了,将程序放入ida中 程序的输入这里有一个a1=0存在off by null 再进入add页面查看 可以看到程序申请了一个0x20大小的chunk保存着当前2chunk的地址指针和index的信息 所以我们可以通过仿造或者修改指针去达到任意申请和任意写的方式 首先我们需要填满
阅读全文
摘要:题目例行检查就不放了 逻辑比较简单,先输入一个地址v6然后输入值到v7,最后将v7的值覆盖到v6上,这不就是任意地址写吗 一下子我就想到了昨天刚学的exit_hook 结果半天都打不通,后来我进行的动态调试,我上一篇文章中放的这个偏移在这道题目上竟然是打不通的 在libc-2.23中exit_hoo
阅读全文
摘要:第一次碰到arm的题目 对于arm我也是一无所知,通过hollk师傅的博客来学习的这种类型的题目 首先关于环境,没有arm环境的师傅可以看一下hollk师傅的 (20条消息) ubuntu20.04 PWN(含x86、ARM、MIPS)环境搭建_hollk’s blog-CSDN博客 我是一步步跟着
阅读全文
摘要:又学到了一个新知识 题目的例行检查我就不放了 关键漏洞 可以看到我们申请的chunk在v1[2】处,这里存放着chunk的地址指针,但是read确实从v1+1开始输入值,说明我们可以去覆盖这个地址 这道题我们利用exit_hook 首先先说一下exit_hook的地址(并不是调用exit_hook,
阅读全文
摘要:pwnable的题目真的是非常非常的好,等我buu做的差不多的时候就去pwnable去练习 题目的例行检查我就不放了 逻辑也很简单,程序告诉我们开启了沙箱,并且要我们通过shellcode的形式去打这道题,可以看到给了s0x1000的空间,这道题我是根据网上的exp去做的 from pwn impo
阅读全文
摘要:到了考试周,有半个多月没有碰pwn了,趁放假多做一点题弥补一下和pwn师傅的差距 题目的例行检查我就不放了 malloc 函数 可以看到malloc限制了chunk的大小。然后再heap处存chunk的指针便于管理 edit函数 这里存在着漏洞,read时程序没有对v2进行严格的限制存在着堆溢出,然
阅读全文
摘要:看到题目十分明显的srop 题目的例行检查我就不放了 程序的逻辑也比较简单,需要注意的是这个题里面没有/bin/sh,所以我们需要俩次srop 第一次srop往栈里面写入/bin/sh,第二次的srop则去调用execve去获得权限 SROP - CTF Wiki (ctf-wiki.org) 完整
阅读全文
摘要:题目的例行检查我就不放了 程序的逻辑也很简单,典型的bss格式字符串漏洞 可以看看看到在ebp下面有一个相互串联的指针,我们可以利用这个链间接写入到bss 并且上面这个libc_start_main+231可以泄露libc 最开始的exp from pwn import * #p = remote(
阅读全文
摘要:例行检查我就不放了,将程序放入ida中 逻辑比较简单,就是将flag放入了栈中,然后通过下面printf去显示flag offset=11+((0x8c-0x4c)/4) 因为栈是小端序储存,高字节在下方,所以需要转换一下 exp如下 from pwn import* #r=process('./P
阅读全文
摘要:
题目的例行检查我就不放了,将程序放入ida中 很明显的值放入了bss段的格式字符串,所以我们动态调试一下程序 可以看到ebp这个地方0xffd0dd17-->0xffd0dd38-->0xffd0dd48这个指针链接,而ebp这个的值是%6$p的偏移,所以我们可以通过修改%6这里的指针处往0xffd
阅读全文
题目的例行检查我就不放了,将程序放入ida中 很明显的值放入了bss段的格式字符串,所以我们动态调试一下程序 可以看到ebp这个地方0xffd0dd17-->0xffd0dd38-->0xffd0dd48这个指针链接,而ebp这个的值是%6$p的偏移,所以我们可以通过修改%6这里的指针处往0xffd
阅读全文
摘要:
题目的例行检查我就不放了 将程序放入ida中 漏洞也较为明显 可以看到 if这里多一个null ,明显的off by null 漏洞 程序在最开始的地方给了我们一个很大的空间,并且权限是rwx,所以我们可以第一时间想到往这里填shellcode然后讲malloc_hook的值修改为mmap的地址 这
阅读全文
题目的例行检查我就不放了 将程序放入ida中 漏洞也较为明显 可以看到 if这里多一个null ,明显的off by null 漏洞 程序在最开始的地方给了我们一个很大的空间,并且权限是rwx,所以我们可以第一时间想到往这里填shellcode然后讲malloc_hook的值修改为mmap的地址 这
阅读全文
摘要:
(这是我真正意义上的完完全全自己做的第一道堆题目,虽然花了快三个小时,谨以此篇纪念一下) 题目的例行检查我就不放了,将程序放入ida中 程序的逻辑十分简单,漏洞也非常明显 重点是这个程序没有给我们show函数,所以第一时间想到了爆破stdout和house of force这俩方法,但是house
阅读全文
(这是我真正意义上的完完全全自己做的第一道堆题目,虽然花了快三个小时,谨以此篇纪念一下) 题目的例行检查我就不放了,将程序放入ida中 程序的逻辑十分简单,漏洞也非常明显 重点是这个程序没有给我们show函数,所以第一时间想到了爆破stdout和house of force这俩方法,但是house
阅读全文
摘要:
这道题目是house of orange 的由来 例行检查我就不放了 将程序放入ida中,可以看到edit中有着非常明显的堆溢出 做堆题目一般来说要先泄露libc 这道题目我们可以申请一个chunk,去修改topchunk的大小,然后申请一个远远比修改后的topchunk大的chunk,这样topc
阅读全文
这道题目是house of orange 的由来 例行检查我就不放了 将程序放入ida中,可以看到edit中有着非常明显的堆溢出 做堆题目一般来说要先泄露libc 这道题目我们可以申请一个chunk,去修改topchunk的大小,然后申请一个远远比修改后的topchunk大的chunk,这样topc
阅读全文
摘要:这道题目帮助我学习了realloc这个函数,是一道十分经典的题目,我会尽量的把exp的每一步都说清楚 例行检查我就不放了 讲程序放入ida中 比较简单的流程,没有show功能,所有我们需要通过爆破stdout这个函数来获得libc 我先放上我学习的俩位师傅的博客 (16条消息) BUUCTF-PWN
阅读全文
摘要:例行检查我就不放了,该程序是32位的程序 将程序放入ida中 进行代码审计 首先这这里有一个off by null 可以通过这里泄露出来第一个chunk的地址信息 这里也有同样的问题,我看ha1vk师傅的解析说可以通过v3的值修改top chunk 的大小从而使用house of force “我想
阅读全文
