- 博客(7)
- 收藏
- 关注
RSS订阅原创 【IO系列IO_2_1_stdout】de1ctf_2019_weapon
由于else if分支中使用的_IO_SYSSEEK函数第二个参数是 (fp->_IO_write_base - fp->_IO_read_end),而遇到的题目基本都是只能覆盖末尾修改_IO_write_base,所以要避免进入else if,所以要满足(fp->_flags & _IO_IS_APPENDING) == 1。由源码可知,puts函数是由_IO_puts函数实现的,_IO_puts函数又调用了_IO_sputn,我们接着跟。② 先判断n是否大于0,如果大于0则进入缓冲区处理,否则返回0;
2024-11-09 21:38:04
860
1
原创 【Chrome V8系列01】初识V8漏洞
*]在学习本系列前,你应该对JS语法介绍 - JavaScript | MDN和二进制PWN堆栈漏洞原理和利用栈介绍 - CTF Wiki有基本认识。[*]本系列将基于中的V8 Exploitation以及rjk师傅V8仓库进行学习,建议先尝试自己做一下,有任何问题请通过评论或QQ进行讨论。[*]学完本篇文章后,你将掌握如何使用浮点数制作V8 shellcode。恭喜你入门V8漏洞利用啦!
2024-10-06 09:21:00
866
原创 【漏洞剖析】CVE-2024-38063(Windows IPV6 远程执行代码漏洞)
这也证明之前引发溢出的漏洞并不是单一数据包产生的,我们需要发送多个会被抛弃或或待被处理的ipv6数据包,才能组合触发漏洞。该函数在ipv6数据包重组失败或异常一段时间后被调用,他的代码很少,但在中间部分使用了memmove函数复制缓冲区,顺着这里往上看,它使用IppNetAllocate申请了一块大小为(0xFFD0+8+0x28)再加上一个不超过0x40的值,由于这里是十六位无符号数,所以相加后一定是一个处于0x00和0x50之间的数,远小于0xFFD0,所以下边使用memmove复制内存时会产生溢出。
2024-09-04 22:41:16
4261
1
原创 【IO系列IO_2_1_stdin】echo_back
⑤比较关键的代码我通过////来包裹起来了,这里使用_IO_SYSREAD函数向_IO_buf_base写入了_IO_buf_end - _IO_buf_base大小的数据,base是起始地址,end是结束地址。⑨那如何改写_IO_buf_base呢?这就要用到set_name函数了,通过set_name函数,我们将s的内容修改成_IO_buf_base的地址,接着用echo_back函数中的格式化字符串漏洞就能成功将_IO_buf_base的低两位写成0。_IO_buf_base:输入缓冲区的起始地址。
2024-05-06 23:24:08
1899
原创 【PWN刷题】Pwnable-calc、Buu-roarctf_2019_easyrop
今天事略多,做一道pwnable+一道有分的buu吧一、Buu-roarctf_2019_easyrop。
2023-05-06 00:08:28
1654
1
原创 【PWN刷题】Pwnable-Start、Pwnable-orw
③思路:打开文件sys_open('/home/orw/flag',0,0),读取文件sys_read(3,flag,0x100),写入标准输出sys_write(1,flag,0x30)。当然也可以用上边所说的,自己写汇编然后用asm生成shellcode,这种比较标准的函数还是建议用shellcraft,比较方便。这里解释一下,0x68732f6e和0x69622f2f组合在一起是hs/nib//,也就是binsh的小端序写法;而0xb,也就是11,是execve的系统调用号。入门级题目,保护全关。
2023-05-03 15:57:37
2010
13
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人