llvm pass pwn

查保护 然后ida看代码逻辑 来到关键函数，这里存在栈溢出漏洞，但是这是数组循环一个字节读入，我们看一下i的地址 发现i的地址在rbp上面，所以我们构造payload肯定会把i的值给覆盖了，所以payload在构造时需要修改一下i的值，让我们的payload继续读入到正确位置，然后就是简单的ret2 ......

jarvisoj_level2 查看保护措施： canary没有，很好。 栈可执行，这题也可以在栈上写shellcode。 PIE都没开，从IDA看到的地址就是实际加载的地址了。 IDA 静态分析 vulnerable_function 里面 read 读了 0x100 字节，但是 buf 只有 0 ......

这一篇主要记录的就是有关libc泄露了，困扰了我许久的玩意终于有写出来的一天了，不容易啊（哭） 不过理解了之后确实就会觉得好写很多嘞 在写题解之前还是写写libc泄露的原理和流程比较好，毕竟我自己学的时候搜索各种资料、看各种视频，真的都看得头大，一路摸爬滚打属实不易，我也希望能写出一篇能让别的初学者 ......

前言 发件人（i@easybe.org）域名的DNS记录未设置或设置错误导致对方拒收此邮件。 host gmail-smtp-in.l.google.com[172.253.118.27] said: 550-5.7.26 This mail has been blocked because the ......

2023.11.18 两天半的比赛，就打了半天（因为要赶去打香山杯决赛了），不过结果还算好，人生第一次拿了两个一血hhh。写wp的时候人在中大南校北门的酒店里:) controller 格式化字符串泄露canary之后打ret2libc即可。 from evilblade import * cont ......

BUUCTF刷刷基础题先，打牢下基础 test_your_nc 就非常经典的起引导作用的nc题 格式：nc IP 端口 rip checksec一下 发现开启了部分地址随机化，其它保护什么也没开，有可读写权限，再来看看源代码 发现有gets()函数（并不会限制输入的字节数），也有system("/b ......

今天的开发中发现了这个问题 Extraneous non-props attributes (class) were passed to component but could not be automatically inherited because component renders frag ......

Pwn2own 2022 Tesla 利用链 （ConnMan 堆越界写 RCE） Opening the doors and windows 0-click RCE on the Tesla Model3 HEXACON2022 - 0-click RCE on the Tesla Model 3 ......

Pwn2own 2023 Tesla 利用链摘要 https://www.youtube.com/watch?v=6KddjKKKEL4 ‍ ‍ ‍ 攻击链： 利用蓝牙协议栈自己实现的 BIP 子协议中的堆溢出，实现任意地址写，修改函数指针 ROP 修改蓝牙固件，由于 wifi 和 蓝牙固件位于同一 ......

一，pass语句: 1,用途: pass语句是一种空操作语句，它不执行任何操作。 2,应用场景: 它作为一个占位符， 应用于当某个代码块暂时没有实现， 以及在语法上需要一个语句但不需要执行任何操作的情况 说明：刘宏缔的架构森林—专注it技术的博客，网站：https://blog.imgtouch.c ......

一，basepass宏 能在母材质面板上设置的宏，为basepass宏，只能影响basepass。 可以用已有的宏MATERIAL_SSR做个试验。 我们通过下面代码可知，MATERIAL_SSR宏对应材质编辑器detail面板上的Screen Space Reflections 在ShadingM ......

还是先查一下程序保护情况 然后看一下代码逻辑 可以发现这里的代码还是挺多的，这里讲一下几个关键部分，首先是开头的addr = (__int64)mmap(0LL, 0x1000uLL, 7, 34, -1, 0LL);将addr这个地址开始的地方变成rwx权限，我们看一下这个地址是哪里 发现addr ......

这道题没给附件，直接就是nc 这个题目的意思是，我们随机输入一个数，然后发给我们一段base64加密后的密文，真正num就在里面，我们现在写个pwntools脚本提取一下这段base64密文，解密一下，看看是什么东西 exp： io=remote("node4.anna.nssctf.cn",280 ......

看一下程序的保护状态 开了canary，接着看一下代码逻辑 可以发现，这里有格式化字符串漏洞，同时gets函数有栈溢出漏洞，现在只需要确定我们输入到buf的内容在格式化字符的第几个参数就行 可以确定buf在格式化字符串的第8个参数，又因为buf的偏移是0x20,所以canary在11个参数，因为ca ......

检查一下保护状态 接着ida看代码逻辑 看func函数 第一次看真没发现有什么漏洞，题目给了backdoor，虽然strlen可以\x00绕过，但是strcpy函数也限制漏洞的实现。仔细看的话，会发现v3的类型是 unsigned __int8 v3; 说明v3是一个字节来表示的，可表示的范围只有0 ......

这是我打的第一次比赛，主打的pwn方向，纪念我的成长 需求：一定的linux系统的命令指令知识，基础的汇编代码，配置好了的虚拟机（打pwn建议是ubuntu)，pwntools的使用,python的使用,ROPgadget的使用 每次把文件拖入IDA前记得用Exeinfope进行检查一下，看是x86 ......

栈迁移的利用的过程不是很复杂，原理方面是比较麻烦：栈迁移原理介绍与应用 - Max1z - 博客园 (cnblogs.com) 这里简述一下栈迁移的利用过程： 我们先来看一下这道题的程序保护情况： 开了canary，接着看代码逻辑 这里的printf("Hello, %s\n", buf);可以发现 ......

这道题是简单的libc，不过多分析了 exp： from pwn import * from LibcSearcher import * io=remote("node5.anna.nssctf.cn",28341) elf=ELF("./pwn") put_got=elf.got["puts"] ......

拿到程序先查一下保护状态 可以发现保护全开，再看一下程序的逻辑 可以发现，这里有一个fork函数： C语言中的fork()函数用于创建一个新的进程，该进程是原始进程（父进程）的一个副本。这个副本将从fork()函数之后的代码行开始执行，父进程和子进程在此处分别继续执行不同的代码。fork()函数的返 ......

查一下程序保护情况 发现是partial relro，说明got表是可以修改的，下一步看代码逻辑 看到这一段 puts(&seats[16 * v0]);存在数组越界的漏洞，因为上面的代码没有对v0进行负数的限制，v0可以是负数，我们来看一下seat的数据 可以发现seat上面的数据就是got表，s ......

查看程序保护 发现开了pie： partial write(部分写入)就是一种利用PIE技术缺陷的bypass技术。由于内存的页载入机制，PIE的随机化只能影响到单个内存页。通常来说，一个内存页大小为0x1000，这就意味着不管地址怎么变，某条指令的后12位，3个十六进制数的地址是始终不变的。因此通 ......

查一下程序保护状态 保护全开，看一下代码逻辑 逻辑比较简单，就是输入一个用户名，然后进行随机数运算，这里可以使用ctypes模块，形成和服务器那边一模一样的随机数 from pwn import * import ctypes context(os='linux',arch='amd64',log_ ......

先查看程序的保护状态 可以看到，保护全开，拖进ida看主函数的逻辑 可以看到有个mmap函数： mmap() 函数是Unix和类Unix操作系统中的一个系统调用，用于在进程的地址空间中映射文件或者其它对象。这样做的好处是可以让文件直接映射到内存中，从而避免了频繁的文件 I/O 操作，提高了文件的读取 ......

这个问题在搭建K8S集群时卡了很久，使用了网上各种方法，今天查看日志很快就解决了，记录一下 在执行命令，初始化时： kubeadm init --kubernetes-version=v1.27.3 --pod-network-cidr=10.244.0.0/16 --apiserver-adver ......

目录pwn环境搭建脚本 pwn环境搭建脚本 分享在ubuntu系统上一站式搭建pwn环境的脚本。 安装脚本如下，挂着梯子的情况下可以直接使用国外的官方源，建议安装的ubuntu系统版本至少为ubuntu:18.04，用可使用sudo命令的普通用户安装而不建议直接使用root用户安装。 如果无法访问国 ......

目录使用docker调试和部署pwn题0x0 前言0x1 调试环境0x2 出题模板0x3 使用技巧 使用docker调试和部署pwn题 使用docker快速部署不同架构、不同版本的调试环境。给出docker环境下pwn题部署模板。 0x0 前言 关于docker的基础概念不做过多的介绍。可以到Doc ......

目录队内pwn训练营资料分享前言培训材料写在最后 队内pwn训练营资料分享 分享队内第一期 pwn 训练营的资料。 前言 为了提升队内师傅的 pwn 技巧，之前在内部举办了一次为期约两个月的 pwn 训练营。从结果来看，培训后师傅们的能力有着显著的提升，此次训练营取得了预期的效果。 本着开源与共享的 ......

一、location 配置1，基本介绍location 配置用于匹配请求的 URL，即 ngnix 中的 $request_uri 变量，其配置格式如下： location [ 空格 | = | ~ | ~* |^~|!~ | !~* ] /uri/ {} 2，loacation 匹配顺序（1）lo ......

来源 本题来自ctfi-wiki，是基本ROP中shellcode的一道例题 查看保护 程序只开启了位置无关保护 PIE 并且有可写可执行的段 反汇编 发现程序中直接输出了buf的地址，所以PIE就不起作用了 可以看到，后面read函数还调用了buf，很显然就是要利用buf这个段了 然后在汇编代码发 ......

首先checksec 没开nx，说明堆栈可执行，初步考虑需要shellcode，然后拖进ida看主函数逻辑 看chall函数 printf("Yippie, lets crash: %p\n", s)这里泄露的s的地址，即栈上的地址 这里的输入的s数组是不存在栈溢出的，这里的关键代码是这一段 res ......