qq_41071646的博客

这次没想到还拿了一道re的一血、题目名称 re bang一看题目就知道需要dump dex 正好手边手机开启了frida 直接dump dex 脚本一把梭，然后直接反编译 发现flag拿到了一血，，题目名称 re signal这个题目 自己实现了vm自己写了一个脚本（不要吐槽我的拼音，当时有点着急 就没有想那么多）自己写了一个python代码模拟了一下lists=[10,4,16,8,3,5,1,4,32,8,5,3,1,3,2,8,11,1,12,8,4..

以前就会用angr 最近在看的时候 发现很多框架都利用了 angr 做了很多事情于是根据 两个项目来深入学习一下angr一个是 反混淆ollvm的代码项目地址https://github.com/pcy190/deflat一个是 auto pwn 的框架https://github.com/ChrisTheCoolHut/Zeratool这两个都用到了an...

好久没有练过pwn了，， 感觉自己pwn 都废了，， 近期打算刷一下攻防世界的android 然后 刷刷这个华南赛区的pwn。如果刷的差不多 打算继续刷buuoj 。暂时把自己会的刷完。。pwn1这个题目真的很有意思 感觉出题人费心了edit 函数已经给限制了然后show 函数也限制了edit 函数????️一个 off by null 由于没有开pieun...

看萝卜师傅的博客 感觉题目很有趣 然后决定刷一波萝卜师傅博客链接http://radishes.top/2019/11/03/2019-11-03-2019shanghai/RE函数逻辑非常简单一开始 check1 把我迷惑了 让我认为 限制字符只有 a-f后来输入过程中 发现了 不止是 a-f 。。。然后 发现 输入字符0也可以，，原来是 无符号，，， 智障了...

在 unctf 里面发现一道 病毒常用的 office 的漏洞一个是内核漏洞CVE-2016-0095 和 CVE-2017-11882开始先说一下 CVE-2016-0095这个是内核漏洞 产生的原因是 内核空指针解引用的漏洞漏洞出现在了win32k 里面题目是给了一个poc 然后让修复这个poc 并且拿到 system 的权限 get shell...

web RE PWN Crypto misc 新手 求带 REfackre这个当时 没有做出来 去看牙了，，，，， 最后复现出来了。，。直接看脚本fromCrypto.Util.numberimport*#importgmpy2importbinasciiimporthashliblists=[0x1b,0x5d,0x42,0x2...

有些oj 还没有刷很多 不断更新中 。。。Jarvis OJ ：rehttps://blog.youkuaiyun.com/qq_41071646/article/details/102502586pwnhttps://blog.youkuaiyun.com/qq_41071646/article/details/88878453实验吧rehttps://blog.csdn.ne...

这次Roarctf 很可惜 ，，， 不过这次也算做出来了一些题目 决心把不会的题目好好看看 会的写到这篇博客 不会的保存下来以后留下来好好看看，，估计需要几天更新 这几天都有些忙 = =RE:polyre这个题目ollvm 如果不用脚本 就直接走远了，800多行代码 ，， 顶不住，。。用 deflat 搞一下去除后的效果__int64 _...

这个题目比较好玩的一点就是自己写了一个canary的保护其实就是首先开了堆然后随机值 然后 把随机值保存到堆里面 后来在取出来做对比用一个canary 然后保存一个 类似栈结构 ++ ---然后 根据 堆的知识以及调试可以知道我们保存的结果可以溢出到堆里面 那么 我们直接修改就可以了 然后泄露一下就ok了from pwn import *context.l...

最近找了一个新的CTF比赛平台 但是不知道为啥pwn的服务器总是连不上， 所以到时候还是直接本地打 默认2.23 so 如果 有高版本的话 我再切换，，， 逆向的话 先等等吧，，，先不刷。。等有空了再刷第一题 连上就有flag的pwn直接 运行就有权限，。第二题 RIP覆盖一下这个没有任何保护 直接 覆盖rip就可以了from pwn import *conte...

这几天看 wiki 有点头疼 刷会 攻防世界（那个echo_back 真的头疼 那个 文件结构 不知道是怎么搞出来的）哪一行代码也不是很清楚是怎么做的 于是就直接跳过那个题目了note-service2 这个题用ida 分析的时候 看见 show 不能用 笑容 逐渐 凝固 看见edit 不能用的时候 直接关闭了ida然后发现保护如下shellcode 一把梭鸭...

这几天做pwn题做的很恶心了，，等下个星期想去继续肝内核pwn。。先看一下这个题目的保护基本该有的保护都有了然后先看一下这个题 ida里面分析发现了 程序没有给我们堆块修改的功能 这里可以通过 堆块合并 /重叠 然后申请达到修改堆块还有泄露堆块的目的这里我们发现了 off by null然后这里的思路 exp 来源于https://www.xct...

最近在看 0day安全 这本书 然后打算 跟着去复现一下以前大一也试着看看这本书 发现看的不是很懂 现在感觉 这本书真的写的很棒然后 我看了前三章 感觉都还ok 然后看到 一个漏洞的时候发现有点手痒然后配了一下环境 找了一下dll 然后跟着来做一下，然后这里的思路是来自 姜大大的https://blog.youkuaiyun.com/ioio_jy/article/details...

其实 对比一下 块表 挺像 linux里面的fastbin 然后 空表就像 unsortbin 这两者有一些相识之处然后 这里学习块表还是根据0day 安全 一书所看实验环境 就是 windows2000 sp4 VC6.0 OD然后下面是代码/**********************************************************...

最近看了一些mips 的文章 感觉手很痒，，， 路由器的指令框架基本是mips的然后 我这里来搭建一下 mips第一呢 就是下载mips的gcc 的版本这个 其实很好整了 百度一搜一大把然后 需要静态链接mips-linux-gnu-gcc -g ret2text.c -o ret2text -static然后就可以 直接运行程序（前提是 安装qemu...

这个题没有想到有一点 。。。。参考链接https://blog.youkuaiyun.com/qq_33528164/article/details/80144580这个题目的漏洞点就是在 realloc 如果 当重新分配的new_size < pre_size, 返回原指针 否则 重新分配 这个就很真实了而且他这个 还没有改变用户态指针如果我们操作一波就可以 用另一个...

参考链接https://xz.aliyun.com/t/4791#toc-13 不得不说 这个博客写的很详细了。。。建议去看 上面的链接 上面的链接写的 很详细 这个题 让我认识到了 Large bin 这个玩意真的很，，，，难感觉比上面那两个难很多一般来说 题目很少涉及 Large bin 涉及的题目一般都会禁止 fastbin if ( !mall...

这个题真的很好玩 先看一下保护PIE 和 NX没开 那么我们可以 用shellcode 来写这一道题先用ida 看一下题目会发现 没有show 也就是输出函数但是 dele 函数确实能够 安排很多东西 UAF 等等而且我们发现 edit 可以自己定size 那么 就可以堆溢出但是有一点就是由于指针没有清0 如果我们不自己清0...

Double Fetch 也可以说成是条件竞争 这个漏洞在信息安全里面还是比较常见的具体就是多线程 导致的 多线程处理不严谨会导致 数据 访问/读写异常 然后 就会把数据修改 导致实现了 Double Fetch在web 可以想象一个场景：假如 有一个服务器 他是支持并发的 那么 如果 我在支付的时候抓包 比如我余额是 4 元 但是东西买3元 我只能买一次但是我一下...

这个题目很好玩看起来就是一个 排序的程序然后这个题实际上也是一个 关于排序的程序参考链接https://bbs.pediy.com/thread-228226.htm这里没有想到的点就是怎么看找加载基址的 没有想到 可以通过哪里看得到还是对pwn的地址太敏感如果把加载地址给解决了 这个题目就很好办了看一下程序 这里面的 排序很好看出来是冒泡排序然...

之所以 看 Unsorted Bin Attack 因为感觉 Fastbin 还有 UAF算是比较熟悉的 所以 直接看 Unsorted Bin其实Unsorted Bin 也是比较熟悉的 在泄露 libc库的时候就认真的看过 这个东西，是当small chunk或large chunkfree掉之后，不会直接进入smallbin或largebin，而是会先进入unsorte...

突然发现 off by one 这个例题太难了，，有点难顶，，实例 1: Asis CTF 2016 b00ks这个题目，，， 看起来很好分析保护的话 ，，基本上 堆该有的保护 他全都有了，，调试一波 增加一下 程序理解 bss 段1 就是我们 book的地址 2是name的地址 3 4 就是 1 2 所对应的值然后我们看一下book...

看wiki 感觉看的也还行了 打算最近把 攻防世界的题 再看看 然后去肝一下buuctf上面的题目然后 发现了一个 这个 路由器漏洞靶场 里面有源代码 还有编译好的 程序然后 里面一共有三个这里面也有三个这里 从名字也能看出来利用的漏洞种类 这个项目的地址，https://github.com/praetorian-inc/DVRF这里面还有源...

这个比赛当时出来的时候 工作室的人 都说要做，， 结果 杂项 还有web 的学弟自闭了 然后当时因为自己配mips 的环境 然后也没有仔细看（感觉自己 肝不出来） 然后就把题目给下载了下来 然后这里是重新做一下题目，逆向：Re_Sign 这个题目算是送分题目 重点在于动态调试 ，，我静态看的很懵， 一开始我输入的字符比较 单调（比如都是5）然后 我一开始以为一开始的加...

要说 setbuf 之前 要好好说一下 stdin stdout stderr 是stdio库中的文件流其实 看名字都能看出来这是干啥的stdin 是 标准输入 在文件标识符是 0stdout 是 标准输出 在文件标识符是 1stderr 是标准错误输出 在文件标识符是 2其实 可以简单的理解成 stdin 是输入流 等待着键盘输入 stdout...

空指针这个其实一直是一个比较容易找到bug的点因为一旦空指针指向了 不对的内存 就会报错 R3的程序会崩溃 R0的驱动会蓝屏 ====看一下 代码可以看出 安全的版本就是 检查了一下 这个指针是否为空的 （其实有时候这样判断也未必一定安全）但是 不安全的版本却没有 判断 那么 就会造成一个结果 就是会执行...

任意内存覆盖 对于 那些比较老旧的系统而言 我感觉还是比较简单的但是对于那些 新的系统 新加的那些保护来看的话 估计就比较困难了先说0day的那个demo 驱动的代码如下/******************************************************************** created: 2010/12/06 filenam...

题目的来源是微软杯Exploit Me安全调试技术挑战赛 赛题题目下载链接https://bbs.pediy.com/thread-133191.htm辞旧迎新exploit me挑战赛题目下载链接https://bbs.pediy.com/thread-57317.htm其实题目都没有什么好说的==都是一些很老的题目=== 纯粹的是当作萌新练手...

继续开 HEVD的新篇章===未初始化栈利用 这玩意 确实不多 不过 定义变量 初始化确实是一个好习惯====先来说一下这个关于 HEVD的代码看的出来 安全版本 定义变量 并且 初始化 然后往下看 程序逻辑==然后我们继续看 可以看到 有一个魔数 如果我们出传入的数值等于那个魔数 那么 就会 系统赋值===如果不等于那个魔数 那么 会...

整数溢出 在 CTF的pwn 里面很常见===这东西确实 怎么说呢 道理就很浅显===整数的范围就那么大 如果超过了就可能造成漏洞先来看一下 HEVD的 源码可以看到 危险版本 和安全的版本的区别==其中这个 TerminatorSize 的 赋值的地方这里就是 4 那么 如果我们的值 0xfffffffc~0xffffffff 就等于了 0 -3...

UAF这个词 确实不算陌生不过要说的一点是 在CTF里面的应用一般是 堆块在释放的时候 堆块指针没有清空 然后 再次申请 申请到那块的区域 然后就可以通过一开始的堆块指针来写 就达到了 修改的目的然后 在这个样例里面来说 并不是堆块 算是内存池=== 这个概念还是不太了解 等到扒扒我的书然后可以先看这个样例的代码 可以看到 有几个重要函数AllocateUaFObjectN...

最近一直再看那玩意 甚至比赛都没有时间准备了 接下来的好多线下赛 都有点慌 好久没有接触CTF题目不过这个太坑了，，，， 我一开始下载后 直接用的就是源代码编译然后一直有坑， ， 搞了两天才意思到 要编译成 Release 唉，，，HEVD的推荐编译环境是 vs2015 我这里是vs2013也可以到他们github 直接下载 成品虚拟机的话 是 win7 x8...

最近和一些巨巨聊天 聊到了fuzz听说比较著名的 fuzz工具是 谷歌的afl现在还是跟着 0day书上自己先玩玩FTP fuzz首先 环境 winxp sp2 sp3 我试了 确实不行，，，，然后装上之后按照 0day书上设置一下就ok了然后 看一下成功截图通过这个实验。。感觉到了fuzz的方便之处 也大概明白了fuzz的功能。就是 可以快速...

这这个漏洞也是根据 0day这本书写的这本书前面的 异常 还有 C++虚函数 感觉看的还行 也就没有必要发到博客里面里面的demo 也是很有趣的 然后后面就直接复现漏洞 中间的东西感觉看的还行了不过我在查阅资料 百度的时候 发现网上能讲清楚这个漏洞的很少。大家基本上都是拿MSF 直接用框架去打 缺没有从底层认真分析这个漏洞我在这里分析一波，，，如果哪里不对 还请指教 。。。...

这个算是堆的最后一个博客总结了这个其实算是最简单的，，，如果前面理解的通透的话 ，，总结这个漏洞就是 最直观的一个漏洞， 就是可以把 内存 溢出到Freelist[0] 里面然后我们可以任意执行的指针 代码然后可以直接shellcodeshellcode 下面的 吾爱破解的帖子讲的很清楚 这里我就复制他的一句话讲一下为什么这样写：ExitProcess()在结束进程时...

堆溢出在0day安全这本书里面应该是 基础章的最后一段了 其实也算是比较难的一段在 CTF的pwn中 堆就是一个难点 并且 在那些重大的CTF比赛 上来就直接 来个 经典的 菜单 堆块题不过 这个在windows下 却是比较难利用的linux 是开源的 就相当于 代码审计 但是 windows 却是 闭源的，，，然后 windows 2000的 堆块策略 基本了解了...

msf 这个工具 在我还没有开始学pwn 就有搞web的人 说过这个框架只是没有怎么了解没有想到这个工具 竟然使用Ruby 写的，， 社会 社会，。然后这里 关于在 windows下的安装 我就不说了 反正 都一样（直接用kail的就行）不过 有一点 感觉很坑 就是 版本不一样 然后 导致我们写的 exploit 可能会加载失败，，（可能是）这里我也不太确定，因为我也不太...

最近 在wiki学习了 house of 这些东西 但是一直都没有找到联系的地方，然后 在一篇博客上发现了上面有讲东西并且练习题 很好所以我就拿来联系了一把 并且记录一下 大概思路house of spirit这个wiki上好像没有 但是利用方法其实还是差不多的这个主要就是 fastbin的利用 伪造一个堆块 然后让 free到这个堆块 让 伪造堆块进入...

最近集训 我自闭了并非是我 没有学习而是 生活太tm 艰难了我的电脑背回去 就直接 初始化了 没有一点点的征兆 然后 就凉了但是这次起码文件都在 而大一那一次 是 D盘文件全部都凉了我也是醉了然后 因为磁盘扩展 我把我的linux 虚拟机快照给删除了 然后 我linux 虚拟机被我搞凉了，，，，最后 才好不容易配置好了 内核pwn的环境...

在攻防世界刷题 发现知识点不够用 还是基础打得不够牢固 看出来哪里有漏洞 但是不会利用想在wiki上打一下基础先在 格式化字符串开始第一题pwn200 GoodLuck 这个题目还是比较一目了然的 看一下ida 然后 发现一个 格式化漏洞 而且 读取的 文件字符在栈里面 可以通过 偏移直接读出来 文件字符内容然后我们去看一下 红色 是我...