XiDP-优快云博客

原创 IDA插件 MIPSROP的安装和使用方法

本文介绍了在IDA 9.0中安装和使用mipsrop插件的方法。首先需要将修改好的两个py文件放入IDA的plugins目录，然后在IDA的Python界面输入导入指令。使用时可通过指令查找gadgets，如显示所有gadget、按条件查找或查找栈指针调整指令。文中提供了测试方法和常用指令示例，并附有参考链接和百度网盘资源下载地址。

2025-05-24 18:44:28 424

原创 2025 ISCC 擂台赛Pwn-wp(含附件)

相比练武赛，擂台赛的题目指令还是要高很多的，里面都是师傅们用心出的题目，但是为什么那么多vm pwn？？？通过网盘分享的文件：2025ISCC擂台赛Pwn全部附件.rar链接: https://pan.baidu.com/s/1y_zdFltMZmCxfxalS9EuCw?pwd=xidp 提取码: xidp。

2025-05-19 00:05:32 1044

去年个人赛报名了忘记打了(笑), 所以这应该算是我第一次参加ISCC, 体验也是非常非常非常非常的cha(第四声)!!!主办方也是非常幽默，pwn和web都是公用容器，那web最后都被当成玩具玩坏了下面是这次练武题的pwn所有附件通过网盘分享的文件：2025ISCC练武赛Pwn全部附件.rar链接: https://pan.baidu.com/s/1aDBEOZ4XESb6yfCrCI5Wgg?pwd=xidp 提取码: xidp。

2025-05-18 20:35:03 793 4

原创 2025 UCSCCTF Pwn-wp(含附件)

通过网盘分享的文件：2025UCSCCTF.rar链接: https://pan.baidu.com/s/17yqcmGRXWN1oNMvgZNRv5w?pwd=xidp 提取码: xidp内含2025 UCSCCTF三个pwn题的附件由于题目比较简单我就简单介绍我的思路并放上exp了。

2025-04-20 22:36:09 1197 2

原创 2025 XYCTF Pwn-wp(含附件)

总体来说Pwn方向题目难度属于中等,属于那种一眼看不出要咋做,但多试试又能做出来的那种,比赛的时候甚至有几只队伍AK了Pwn方向。

2025-04-08 18:52:46 1335 14

原创 CISCN && 长城杯 2025半决赛 Pwn-typo wp(含附件)

通过网盘分享的文件：2025CISCN半决赛pwn.rar链接: https://pan.baidu.com/s/1jplAyW7_0UnTWql9f6YJ7w 提取码: xidp。

2025-03-20 00:04:30 1017

原创买不起的大house之house of emma

这条链子由WJH’s Blog师傅首个发现，经典例题为2021湖湘杯的1解题劫持stderr(比如劫持使得其为一个已知的地址(比如) 注:使用查看在劫持的stderr中构造fake_IO,具体要求为为0xffffffffffffffff(也就是-1)以及_lock为一个不影响程序的流程的可写地址,一般选用堆地址(具体原因在最下面解释1然后在vtable处放上(注:这里为什么是+0x40看下面解释2)用于调用当然其他偏移也可以但是这里只介绍进入之后rdi会指向被劫持的stderr随后会进入此时rbx指向。

2025-03-08 00:34:58 665

原创买不起的大house之house of kiwi

在glibc2.34中取消了等关键hook。这使得原本利用修改这些hook来达成控制程序流的方法不再适用。所以在进入glibc高版本后出现了很多利用IO流来控制程序流程的方法,就是其中之一能够达成任意已知地址写，来想办法控制中的__sync指针,修改__sync指针为one_gadget控制top_chunk的size位的大小并将prev_inuse置为0申请一个比我们修改后的top_chunk的size大的chunk块，就可以触发。

2025-03-05 15:34:24 619

原创买不起的大house之house of apple3

roderick01师傅的apple链子中的第三种，和apple2相同可以直接获取shell，并且利用起来也很方便。roderick01师傅提出的方法不仅仅是上面一种，大致分为下面四种。

2025-03-03 19:45:51 633

原创买不起的大house之house of apple2

roderick01师傅的apple链子中的第二种，和apple1不同，apple2可以直接获取shell，并且利用起来也很方便。roderick01师傅提出的方法不仅仅是上面一种，大致分为下面四种。

2025-03-02 14:07:00 748

原创 ARM架构基础知识

支持低寄存器（r0-r7）或高寄存器（r8-r12, lr, pc等），具体取决于指令集（ARM/Thumb）函数的 1 - 4 个参数分别由 R0 - R3 寄存器来保存，剩下的参数则是从右往左依次压入栈中。在aarch64架构下比arm架构新增了BLR指令，也是用于跳转的指令，下面是它对比BL指令。:寻址模式（如IA、IB、DA、DB）或堆栈模式（如FD、ED）（一对）的意思，也就是说，仅可以同时读/写两个寄存器。:可选后缀，表示更新基址寄存器（Rn）的值。从子程序返回（跳转至LR保存的地址）

2025-03-02 02:32:50 749

原创买不起的大house之house of apple1

在高版本的glibc中逐渐移除了等一众hook全局变量，这意味着在CTF竞赛中利用“hook”来控制程序流成为了过去式。而想要在高版本利用成功，基本上就离不开对IO_FILE结构体的伪造与IO流的攻击下面介绍一种由roderick01师傅发现的链子称之为而一共有三条链子本文将介绍apple1stderr。

2025-03-01 01:09:38 888

原创利用setcontext来进行ORW

setcontext是libc中的一个函数，而它的汇编代码中含有大量的mov <寄存器>这类汇编语句，如下图(注:setcontext以glibc2.29为分界线，2.29以下和2.29及以上有较大不同):上图是glibc2.27中的setcontext的汇编部分，可以看到其中有非常多的控制寄存器的mov指令，它们都利用rdi+<偏移值>来获取具体的数值，所以如果我们可以控制rdi寄存器随后将程序跳转到setcontext+53(也就是图中mov rsp，[rdi+0xa0h]的位置)

2025-02-28 00:33:23 869 3