自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(13)
  • 收藏
  • 关注

原创 IDA插件 MIPSROP的安装和使用方法

本文介绍了在IDA 9.0中安装和使用mipsrop插件的方法。首先需要将修改好的两个py文件放入IDA的plugins目录,然后在IDA的Python界面输入导入指令。使用时可通过指令查找gadgets,如显示所有gadget、按条件查找或查找栈指针调整指令。文中提供了测试方法和常用指令示例,并附有参考链接和百度网盘资源下载地址。

2025-05-24 18:44:28 424

原创 2025 ISCC 擂台赛Pwn-wp(含附件)

相比练武赛,擂台赛的题目指令还是要高很多的,里面都是师傅们用心出的题目,但是为什么那么多vm pwn???通过网盘分享的文件:2025ISCC擂台赛Pwn全部附件.rar链接: https://pan.baidu.com/s/1y_zdFltMZmCxfxalS9EuCw?pwd=xidp 提取码: xidp。

2025-05-19 00:05:32 1043

原创 2025 ISCC 练武赛Pwn-wp(含附件)

去年个人赛报名了忘记打了(笑), 所以这应该算是我第一次参加ISCC, 体验也是非常非常非常非常的cha(第四声)!!!主办方也是非常幽默,pwn和web都是公用容器,那web最后都被当成玩具玩坏了下面是这次练武题的pwn所有附件通过网盘分享的文件:2025ISCC练武赛Pwn全部附件.rar链接: https://pan.baidu.com/s/1aDBEOZ4XESb6yfCrCI5Wgg?pwd=xidp 提取码: xidp。

2025-05-18 20:35:03 788 4

原创 2025 UCSCCTF Pwn-wp(含附件)

通过网盘分享的文件:2025UCSCCTF.rar链接: https://pan.baidu.com/s/17yqcmGRXWN1oNMvgZNRv5w?pwd=xidp 提取码: xidp内含2025 UCSCCTF三个pwn题的附件由于题目比较简单我就简单介绍我的思路并放上exp了。

2025-04-20 22:36:09 1196 2

原创 2025 XYCTF Pwn-wp(含附件)

总体来说Pwn方向题目难度属于中等,属于那种一眼看不出要咋做,但多试试又能做出来的那种,比赛的时候甚至有几只队伍AK了Pwn方向。

2025-04-08 18:52:46 1332 14

原创 CISCN && 长城杯 2025半决赛 Pwn-typo wp(含附件)

通过网盘分享的文件:2025CISCN半决赛pwn.rar链接: https://pan.baidu.com/s/1jplAyW7_0UnTWql9f6YJ7w 提取码: xidp。

2025-03-20 00:04:30 1016

原创 买不起的大house之house of emma

这条链子由WJH’s Blog师傅首个发现,经典例题为2021湖湘杯的1解题劫持stderr(比如劫持使得其为一个已知的地址(比如) 注:使用查看在劫持的stderr中构造fake_IO,具体要求为为0xffffffffffffffff(也就是-1)以及_lock为一个不影响程序的流程的可写地址,一般选用堆地址(具体原因在最下面解释1然后在vtable处放上(注:这里为什么是+0x40看下面解释2)用于调用当然其他偏移也可以但是这里只介绍进入之后rdi会指向被劫持的stderr随后会进入此时rbx指向。

2025-03-08 00:34:58 664

原创 买不起的大house之house of kiwi

在glibc2.34中取消了等关键hook。这使得原本利用修改这些hook来达成控制程序流的方法不再适用。所以在进入glibc高版本后出现了很多利用IO流来控制程序流程的方法,就是其中之一能够达成任意已知地址写,来想办法控制中的__sync指针,修改__sync指针为one_gadget控制top_chunk的size位的大小并将prev_inuse置为0申请一个比我们修改后的top_chunk的size大的chunk块,就可以触发。

2025-03-05 15:34:24 618

原创 买不起的大house之house of apple3

roderick01师傅的apple链子中的第三种,和apple2相同可以直接获取shell,并且利用起来也很方便。roderick01师傅提出的方法不仅仅是上面一种,大致分为下面四种。

2025-03-03 19:45:51 631

原创 买不起的大house之house of apple2

roderick01师傅的apple链子中的第二种,和apple1不同,apple2可以直接获取shell,并且利用起来也很方便。roderick01师傅提出的方法不仅仅是上面一种,大致分为下面四种。

2025-03-02 14:07:00 745

原创 ARM架构基础知识

支持 低寄存器(r0-r7)或 高寄存器(r8-r12, lr, pc等),具体取决于指令集(ARM/Thumb)函数的 1 - 4 个参数分别由 R0 - R3 寄存器来保存,剩下的参数则是从右往左依次压入栈中。在aarch64架构下比arm架构新增了BLR指令,也是用于跳转的指令,下面是它对比BL指令。:寻址模式(如IA、IB、DA、DB)或堆栈模式(如FD、ED)(一对)的意思,也就是说,仅可以同时读/写两个寄存器。:可选后缀,表示更新基址寄存器(Rn)的值。从子程序返回(跳转至LR保存的地址)

2025-03-02 02:32:50 745

原创 买不起的大house之house of apple1

在高版本的glibc中逐渐移除了等一众hook全局变量,这意味着在CTF竞赛中利用“hook”来控制程序流成为了过去式。而想要在高版本利用成功,基本上就离不开对IO_FILE结构体的伪造与IO流的攻击下面介绍一种由roderick01师傅发现的链子称之为而一共有三条链子本文将介绍apple1stderr。

2025-03-01 01:09:38 886

原创 利用setcontext来进行ORW

setcontext是libc中的一个函数,而它的汇编代码中含有大量的mov <寄存器>这类汇编语句,如下图(注:setcontext以glibc2.29为分界线,2.29以下和2.29及以上有较大不同):上图是glibc2.27中的setcontext的汇编部分,可以看到其中有非常多的控制寄存器的mov指令,它们都利用rdi+<偏移值>来获取具体的数值,所以如果我们可以控制rdi寄存器随后将程序跳转到setcontext+53(也就是图中mov rsp,[rdi+0xa0h]的位置)

2025-02-28 00:33:23 869 3

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除