X1NRI-优快云博客

原创 DASCTF二进制专项 2023六月赛 DASKERNEL

ezkernel!have fun!

2024-03-15 21:28:35 416 1

原创 0ctf_2018_heapstorm2 && rctf_2019_babyheap

分配合适的chunk，unsortedbin 剩余的一个chunk（0x4e1）是我们需要的largebin chunk，此时处于释放状态。这看似没有问题，但是注意，strcpy函数会在末尾加上null，相当于13个字节，发生了off by null。2.23-0ubuntu11house of storm，poison null byte，堆风水，堆orw。分配合适的chunk，chunk2是unsorted chunk（0x4f1），此时处于分配状态。同时，mallopt函数禁用了fastbin。

2023-06-14 17:17:55 254

原创 BUUCTF--hitcon2014_stkof

考虑unlink修改no_use的strlen_got为puts_plt（这下就有用了），实现泄露libc_base的功能。利用思路：该程序没有输出函数，我们肯定是需要泄露libc_base的，因此需要改got表为puts_plt等。漏洞原理：fill函数造成堆溢出。这题没字符串输出，挺不习惯的。

2023-05-03 19:55:50 136

原创 BUUCTF--lctf2016_pwn200

free(ptr)后再malloc(0x30)，得到这块fake_chunk的控制权，接着将返回地址（get_money_ret）覆盖为shellcode_addr，退出拿到shell。向$buf输入，构造fake_chunk且覆盖dest(ptr)的size，同时修改ptr指向fake_chunk的mem部分。这里得到的是rbp中的值，不是rbp的地址，通过调试得到偏移。3.利用”give me money~“，布置。5.修改返回地址为shellcode的地址。是一个入住宾馆的题目。

2023-04-01 14:22:42 340

原创攻防世界--pwn1

canary，ret2libc注意：只能打通远端，且libc中的systembinsh没用，用onegadget打通，在用onegadget时，注意rax需要为0，通过汇编看出选择3.exit退出时rax清0，可以onegadgetExpshe_i386_20=b"\x31\xc9\x6a\x0b\x58\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80"she_amd64_30=b"\x48\x31\xd2\x48\xbb

2023-02-22 17:42:46 581 2