woodwhale的博客

docker逃逸小结

pwnhub 3月公开赛 sh_v1_1

hgame2023 week4 Pwn

hgame2023 week3 2个re和3个pwn的wp

2022 极客大挑战 pwn题解

2022 祥云杯 pwn 部分wp，有空复现别的题目

又被两个大爹带飞咯

2022 羊城杯 fakeNoOutput

【环境】docker pwn机配置前言由于自己的荣耀轻薄本装了双系统（ubuntu20.04和win10），每次在打ctf比赛的时候基本上都是使用ubuntu系统来做pwn和misc，每次做学校的作业基本都要用office之类的工具（ubuntu虽然也有wps支持但是还是挺不习惯的）。加上近期学了docker的部分知识，于是先要用docker+ubuntu+vnc+pwntools的方式配置一台属于自己的docker pwn机。虽然github上已经有很多版本的pwn机，但是还是想自己动手做一台。d

【pwn】2021 极客大挑战（部分）1、pwn7770x1怎么说呢，这题就是硬用fmt写rop链。不过也是第一次见到这种fmt，也算是见了新题型了。0x2我们打开IDA进行逆向分析就俩主要函数，我就当第一关和第二关吧先进入game函数，发现可以通过buf覆盖seed的后32位，srand这个函数的参数是int型，所以我们这里可以通过buf覆盖seed，然后导入ctypes库，使用题目给的libc进行获取随机数，重复10次就可以了。0x3第二关就有点自由了，这种自由就是看你怎么想到

【pwn】2021 东华杯（部分)1、cpp1典中典之堆溢出，改俩堆块重叠进入unsorted bin，然后申请其中一个回来，就能泄露libc。之后就是堆溢出改fd为free_hook写入system#!/usr/bin/python# -*- coding: UTF-8 -*-# -----------------------------------# @File : exp.py# @Author : woodwhale# @Time : 2021/10/31 12

【pwn】记一道shellcode侧信道攻击前言契机来源于K0nashi师傅给的一道题目，让我来写写shellcode，那当然是写啊！分析checksec之后发现保护全开，打开ida分析发现有沙箱，直接查看沙箱可以使用read open，不能使用write，并且判断了A < 0x40000000。再进入ida看看先mmap一段可执行的chunk，然后可以写入0x18长度的shellcode，最后设立沙箱规则之后执行我们刚刚写入的shellcode。那么一种新的思路就是侧信道攻击简

【pwn】金华市 和美杯前言太拉了，签到都不会堆溢出给200分真的合理吗1、sign_in没有edit，判断是否free有一个flag，1可以free，0不可以，free没有置0，考虑uaf，场上没想出来，题目还是做少了。没给libc，通过测试vps上的double free判断是glibc 2.23#!/usr/bin/python3# -*- coding: UTF-8 -*-# -----------------------------------# @File : exp.

【pwn】2021 鹤壁杯 wp前言这场比较简单，但是也看到了自己急于求成的下场，基础知识非常不牢固，很多调试手段都太拉了，逆向能力也是非常差，还是得跟着师傅们继续学啊！1、ret2libc1就是最简单的ret2libc1，好像还有后门，我给忘了2、ret2libc3也是基本的ret2libc3，puts.plt泄露puts.got从而泄露libc.address，system(“sh”)要注意一下栈平衡，在rop之前加个ret3、onecho这题，虽然很简单，但是我太拉了，不会动调，导致

【pwn】2021 祥云杯 （部分）前言国庆的最后几天，一直在补题，发现祥云杯那个时候一道堆题都不会，直接开始补题。补题过程中，发现自己还是太菜了，对着师傅们的wp都有些不明白.jpg1、note这应该是祥云杯里最简单的题目了QAQ。但是之前没有学过IO，参考一位师傅写的这篇博客，pwn题堆利用的一些姿势 – IO_FILE漏洞点在于scanf的格式化字符串，可以任意位置写。发现stack中有_IO_2_1_stdout_那么，我们写入p64(0xfbad1800) + p64(0)*3来泄露

【pwn】2021 绿城杯（部分）前言补题，这场没报名，比赛的时候机房唯一报名的战队pwn穿了（tql），就没去做了1、uaf_pwn简单的uaf，free之后之后没有置0，直接申请unsorted bin泄露libc，再double free改malloc_hook写入one_gadgetexp如下def add(size): sla(">","1") sla("size>",str(size)) def free(index): sla("&gt

【pwn】长安杯baigei前言这场和das月赛重了，当时这个baigei题没仔细看，长安杯就解了两道jar包web的送分题，国庆开始补题漏洞分析最基本的菜单，增删改查都有的那种，漏洞在于add中的size即使是error的，也会被Size数组记录并且之后的edit中，只会比较更改后的size和Size数组中的size的大小如果我们将Size数组中的size写成非常大的，那么我们可以随意edit从而进行堆溢出改一个chunk头为0x431，放入unsortedbin，add一个0x400进行u

【pwn】DASCTF Sept 月赛1、hehepwn先查看保护，栈可执行，想到shellcode这题需要注意shellcode的写法拖入ida中分析一直以为iso scanf不能栈溢出，后来发现我是shabi先进入sub_4007F9()函数有个read函数，恰好读完s数组，由于printf是碰到\x00截断，所以如果我们输满0x20个padding就可以读取一个栈地址我们可以把shellcode写入scanf输入的地址中，通过创建fake rbp进行栈迁移，而这个栈中存有我们写入

【pwn】V&N2020 公开赛 simpleHeap1、静态分析首先libc版本是ubuntu16的2.23版本，可以去buu的资源处下载然后checksec一下，保护全开拖入IDA中分析去除了符号表，通过menu函数分析出有add、edit、show、delete1.add()add函数分析一遍，发现没什么漏洞，就是普普通通的输入一个需要申请的size（空间大小），然后再向这个malloc的空间中输入content（内容），其中size不能大于111（0x6F）。2.ed

【pwn】学pwn日记（堆结构学习）1、什么是堆？堆是下图中绿色的部分，而它上面的橙色部分则是堆管理器我们都知道栈的从高内存向低内存扩展的，而堆是相反的，它是由低内存向高内存扩展的堆管理器的作用，充当一个中间人的作用。管理从操作系统中申请来的物理内存，如果有用户需要，就提供给他。2、了解堆管理器注意：linux使用glibc这里有两种申请内存的系统调用：brkmmap第一种brk，是将heap下方的data段（bss属于data段），向上扩展申请的内存。第二种mmap，其实下

【pwn】攻防世界 pwn新手区wp前言这几天恶补pwn的各种知识点，然后看了看攻防世界的pwn新手区没有堆题（堆才刚刚开始看），所以就花了一晚上的时间把新手区的10题给写完了。1、get_shell送分题，连接上去就是/bin/sh不过不知道为啥我的nc连接不上。。。还是用pwntool的remote连接的from pwn import *io = remote("111.200.241.244", 64209)io.interactive()2、hello pwn可以看

【pwn】学pwn日记（持续更新）前言从8.2开始系统性学习pwn，在此之前，学习了部分汇编指令以及32位c语言程序的堆栈图及函数调用。文章中的部分图片来自于教学视频学习视频链接：XMCVE 2020 CTF Pwn入门课程、【星盟安全】PWN系列教程（持续更新）学习文章链接： CTF Wiki elf文件未初始化的全局变量glb，编译出来在内存中bss中初始化的全局变量str（没有被修改过），编译出来在内存中data而hello world在text段中main和sum