- 博客(74)
- 收藏
- 关注
RSS订阅原创 hitcon_ctf_2019_one_punch(libc2.29 tcache tashing unlink)
libc2.29 tcache tashing unlink
2022-09-30 13:58:49
1033
原创 [2020 新春红包题]3(libc2.29 tcache tashing unlink )
libc2.29 tcache tashing unlink
2022-09-29 15:16:07
1137
3
原创 用patchelf改程序后在exp中用gdb.attach()调试堆栈
用patchelf改程序后在exp中用gdb.attach()调试堆栈
2022-09-28 23:48:45
1296
3
原创 NewStarCTFWEEK2 pwn题解
NewStarCTFWEEK2uint32 and ret:shellcode-revenge:砍一刀:buffer-flyuint32 and ret:就是个负数转无符号会变为一个很大的数,就能溢出,然后太大也不行read不了,找一下64位无符号int是多少,然后对应减掉一点,用gdb调试一下就知道了,还有就是用ret调一下from pwn import *local_file = './uint'local_libc = '/lib/x86_64-linux-gnu/libc.so.6'
2022-09-27 10:17:05
796
原创 qctf_2018_dice_game,xm_2019_awd_pwn2
qctf_2018_dice_game(溢出控制其他变量),xm_2019_awd_pwn2(tcache doublefree)
2022-09-20 16:24:30
257
原创 pwnlib.exception.PwnlibException: Could not find ‘as‘ installed for ContextType报错解决
做arm架构下的pwn题某个报错
2022-09-20 12:15:01
2378
2
原创 简单爬一下pc端微信小红书小程序
简单爬一下xh书怎么使用:其他:代码:怎么使用:本地要新建相应txt,xlsx文件自己要准备好一些代理ip如果要搜自己指定的关键字的话,pararm里的关键字(keyword)要改一下,还有get_X_sign里也要对应改一下,就是关键字要改成,‘%E4%BA%BA%E7%94%9F%E6%84%9F%E6%82%9F’同样的形式时间久了的话,一些参数会过期,重新抓包获取参数其他:代码有点烂,见谅参考自:https://blog.youkuaiyun.com/m0_46639364/article
2021-12-28 11:51:03
5281
5
原创 x_nuca_2018_offbyone2(off by null,unlink造成doublefree)
x_nuca_2018_offbyone2:在第七页挑了个题目做,好像不是很难检查一下,got表可写漏洞分析:有个off by null这题还有输出函数,挺好做的利用思路:1.利用off by null 造成unlink使指针数组中,由两个指针指向同一块地方造成doublefree,我们再顺便泄露了libc2.劫持free_hook为system,释放填有binsh的那个chunk就getshell了exp:from pwn import *#from LibcSearcher i
2021-11-19 19:37:56
3269
原创 picoctf_2018_echooo(fmt)
picoctf_2018_echooo这题还是蛮有意思的程序分析:它已经读取flag在栈上了,我们用格式字符串泄露出来flag就好要写个脚本转换下,倒着组合一下exp:from pwn import*#r=process('./PicoCTF_2018_echooo')r=remote('node4.buuoj.cn',29996)offest=11+(0x8c-0x4c)/4print offestflag=''for i in range(11): payload='
2021-11-19 13:04:08
386
原创 sctf_2019_easy_heap(off by null,unlink造成doublefree)
sctf_2019_easy_heap:保护全开程序分析:给我们mmap了一段可读可写可执行的区域,还告诉了我们地址add里告诉了我们堆地址其他都挺常规的,delete也释放干净了漏洞分析:有个off by null利用思路:1.利用漏洞off-by-null造成unlink合并,再申请回来,指针数组里就有两个指针指向同一块地方,我们delete两次就造成了doublefree2.我们用doublefree往mmap的地方写shellcode3.再用off-by-null造成unl
2021-11-18 22:32:30
507
原创 SWPUCTF_2019_p1KkHeap(tcache表头攻击,uaf,ORW)
SWPUCTF_2019_p1KkHeap:保护全开程序分析:开了沙盒我们看一下,可以看到禁用了execve,我们只能用orw组合读取flag在0x6666000的地方给了我们一块可读可写可执行的区域还有一些小限制,只能实行0x12次循环free只能3次malloc最大0x100,不让我们直接申请0x410能free到unsortbin漏洞分析:显然有个uaf大致思路:1.先利用uaf,泄露堆地址2.doublefree后申请三次,让tcache_bin中的index改到
2021-11-18 14:07:24
577
原创 hgame2018_flag_server
hgame2018_flag_server:漏洞分析:输入负数就能跳过长度判断自定义了个输入函数,跟进去看a2是负数,这判断条件永远成立,造成任意长度输入我们改到变量v10为非零值就能cat flag了exp:
2021-11-16 18:07:26
399
原创 ciscn_2019_s_6(uaf)
ciscn_2019_s_6:保护全开漏洞分析:指针未清零,存在uaf大致步骤:利用unsortbin泄露libc,doublefree劫持free_hook为systemexp:from pwn import *local_file = './ciscn_s_6'local_libc = './libc-2.27.so'remote_libc = './libc-2.27.so'select = 1if select == 0: r = process(local_
2021-11-16 12:53:19
394
原创 houseoforange_hitcon_2016(unsortbin attack,fsop)
houseoforange_hitcon_2016:很经典的一道题目,checsec一下,保护全开程序分析:这题最主要就是没有free漏洞分析:edit里的length和add里的length没有联系,我们可以造成堆溢出大致思路:1.释放到unsortbin中,泄露libc_base和heap_addr:利用堆溢出,改Top_chunk_size为一个较小的值,我们再申请一个大于Top_chunk_size的chunk的话,系统会用sysmalloc来分配堆,如果符合sysmalloc
2021-11-15 22:44:15
514
原创 gyctf_2020_document(uaf)
gyctf_2020_document:保护全开漏洞分析:delete函数里指针未清零大致思路:这题限制了add时chunk的size,为0x8和0x80,edit时只能从+0x10处改0x70个字符1.先add一个chunk,在add一个chunk,这个chunk里的name填/bin/sh\x00(这时0x8chunk中存有指向binsh地址的指针了),我们释放第一个chunk,由于0x80大小,释放到unsortbin中,我们show,就能泄露libc2.我们接下来的目的是控制申请
2021-11-14 19:32:22
1037
原创 gyctf_2020_some_thing_interesting(fmt泄露libc,doublefree)
gyctf_2020_some_thing_interesting:保护全开漏洞分析:字符串只比较到第14个,还有5个我们可以任意填这里有个格式化字符串漏洞指针未清零漏洞利用:gbd调试可以看到偏移的地址指向啥,例如偏移17,指向__libc_start_main+240,我们靠此泄露libc再利用doublefree,分配chunk到malloc_hook-0x23中,改malloc_hook为og去getshellexp:这题free时会释放两个堆,甚至帮我们绕过doubl
2021-11-13 16:38:31
507
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人