picoctf chain 2018 pwn

简介 Chain是LangChain的核心模块之一，它将每个零散的逻辑串联成一整个业务流程，相当于是所有复杂逻辑的基础，由此可见chain的重要性非比寻常。本文就来给大家介绍一下Chain模块的原理。 下面是chain的各种类型 设计思路 LangChain 能火爆的主要原因之一就是Chain 的设 ......

jarvisoj_level2 查看保护措施： canary没有，很好。 栈可执行，这题也可以在栈上写shellcode。 PIE都没开，从IDA看到的地址就是实际加载的地址了。 IDA 静态分析 vulnerable_function 里面 read 读了 0x100 字节，但是 buf 只有 0 ......

Weblogic 任意文件上传漏洞（CVE-2018-2894） Oracle 7月更新中，修复了Weblogic Web Service Test Page中一处任意文件上传漏洞，Web Service Test Page在"生产模式"下默认不开启，所以该漏洞有一定限制。 利用该漏洞，可以上传任意 ......

Weblogic WLS Core Components 反序列化命令执行漏洞（CVE-2018-2628） Oracle 2018年4月补丁中，修复了Weblogic Server WLS Core Components中出现的一个反序列化漏洞（CVE-2018-2628），该漏洞通过t3协议触发 ......

这一篇主要记录的就是有关libc泄露了，困扰了我许久的玩意终于有写出来的一天了，不容易啊（哭） 不过理解了之后确实就会觉得好写很多嘞 在写题解之前还是写写libc泄露的原理和流程比较好，毕竟我自己学的时候搜索各种资料、看各种视频，真的都看得头大，一路摸爬滚打属实不易，我也希望能写出一篇能让别的初学者 ......

题意 有 \(n\) 条鱼，\(m\) 个渔夫，且这 \(m\) 个渔夫都在横坐标轴上，每个渔夫都有一个长度为 \(l\) 的鱼竿，当鱼和渔夫距离小于或等于 \(l\) 时，鱼能被钓到。 并且渔夫 \((x,0)\) 与鱼 \((a,b)\) 的距离（假设为 \(L\) ）满足如下公式 \(|a − ......

P5451 [THUPC2018] 密码学第三次小作业 题解 已知 \((e_1, e_2) = 1\)。 \[\begin{matrix}c_1=m^{e_1}\bmod N\\c_2=m^{e_2}\bmod N\end{matrix} \]现在，已知 \(c_1\) ，\(c_2\)，\(e_ ......

一、问题现象 docker容器报错: docker: Error response from daemon: driver failed programming external connectivity on endpoint etlmysql (12ccdbcef942bef6f32dbfc15 ......

有某位特别爱RE的同学问的老师，由此引发了一场血案 主打的就是一坚持不懈（悲 题意 给出两个正整数 \((x,y)\)，满足 \((x,y),(x+1,y+1),(x+2,y+2),\dots,(x+k,y+k)\) 都是互质的，直到 \((x+k+1,y+k+1)\) 起不互质 问 \(k\) 的 ......

CF1766D Lucky Chains 有某位特别爱RE的同学问的老师，由此引发了一场血案 主打的就是一坚持不懈（悲 题意 给出两个正整数 $(x,y)$，满足 $(x,y),(x+1,y+1),(x+2,y+2),\dots,(x+k,y+k)$ 都是互质的，直到 $(x+k+1,y+k+1)$ ......

2023.11.18 两天半的比赛，就打了半天（因为要赶去打香山杯决赛了），不过结果还算好，人生第一次拿了两个一血hhh。写wp的时候人在中大南校北门的酒店里:) controller 格式化字符串泄露canary之后打ret2libc即可。 from evilblade import * cont ......

BUUCTF刷刷基础题先，打牢下基础 test_your_nc 就非常经典的起引导作用的nc题 格式：nc IP 端口 rip checksec一下 发现开启了部分地址随机化，其它保护什么也没开，有可读写权限，再来看看源代码 发现有gets()函数（并不会限制输入的字节数），也有system("/b ......

Pwn2own 2022 Tesla 利用链 （ConnMan 堆越界写 RCE） Opening the doors and windows 0-click RCE on the Tesla Model3 HEXACON2022 - 0-click RCE on the Tesla Model 3 ......

Pwn2own 2023 Tesla 利用链摘要 https://www.youtube.com/watch?v=6KddjKKKEL4 ‍ ‍ ‍ 攻击链： 利用蓝牙协议栈自己实现的 BIP 子协议中的堆溢出，实现任意地址写，修改函数指针 ROP 修改蓝牙固件，由于 wifi 和 蓝牙固件位于同一 ......

CoN要点 CoN框架由三种不同的类型组成，研究称之为阅读笔记。 上面的图像，类型(A)显示了检索到的数据或文档回答查询的位置。LLM仅使用NLG从提供的数据中格式化答案。 https://avoid.overfit.cn/post/1a108bbaf6c84b5fbc51554fefa222cd ......

1. Introduction ​ Let \(\{X_n,n=0,1,2,...\}\) be a stochastic process that takes on a finite number of possible values. If \(X_n=i\), then the process ......

还是先查一下程序保护情况 然后看一下代码逻辑 可以发现这里的代码还是挺多的，这里讲一下几个关键部分，首先是开头的addr = (__int64)mmap(0LL, 0x1000uLL, 7, 34, -1, 0LL);将addr这个地址开始的地方变成rwx权限，我们看一下这个地址是哪里 发现addr ......

这道题没给附件，直接就是nc 这个题目的意思是，我们随机输入一个数，然后发给我们一段base64加密后的密文，真正num就在里面，我们现在写个pwntools脚本提取一下这段base64密文，解密一下，看看是什么东西 exp： io=remote("node4.anna.nssctf.cn",280 ......

题意 给定一个序列，里面的值只有可能是 \(a\) 或 \(b\)（\(a < b\)）。有 \(m\) 个区间，这里面的值必须是 \(a\)，求如何是序列总和最大。 思路 因为 \(n\) 和 \(m\) 都只有 100，所以可以先暴力将所有值设为 \(b\)，再将区间里的值暴力修改为 \(a\) ......

看一下程序的保护状态 开了canary，接着看一下代码逻辑 可以发现，这里有格式化字符串漏洞，同时gets函数有栈溢出漏洞，现在只需要确定我们输入到buf的内容在格式化字符的第几个参数就行 可以确定buf在格式化字符串的第8个参数，又因为buf的偏移是0x20,所以canary在11个参数，因为ca ......

检查一下保护状态 接着ida看代码逻辑 看func函数 第一次看真没发现有什么漏洞，题目给了backdoor，虽然strlen可以\x00绕过，但是strcpy函数也限制漏洞的实现。仔细看的话，会发现v3的类型是 unsigned __int8 v3; 说明v3是一个字节来表示的，可表示的范围只有0 ......

https://codeforces.com/contest/1864/problem/C 思维越来越僵化了 假如\(n=2^k\)，直接每次/2就行。 否则，我们可以考虑如何转化成上面的情况 令\(n=2^k x\)，那么我们显然可以转移到\(n=2^k (x-1)\)，因为x是奇数，所以2的次幂 ......

这是我打的第一次比赛，主打的pwn方向，纪念我的成长 需求：一定的linux系统的命令指令知识，基础的汇编代码，配置好了的虚拟机（打pwn建议是ubuntu)，pwntools的使用,python的使用,ROPgadget的使用 每次把文件拖入IDA前记得用Exeinfope进行检查一下，看是x86 ......

打开txt文件得到一串base64编码的字符串 a2FuYmJyZ2doamx7emJfX19ffXZ0bGFsbg== 解码得到一串貌似是栅栏加密的字符串 kanbbrgghjl{zb____}vtlaln 这里我直接使用栅栏解密，栏目数设置多少都不对，看了其他师傅的WP后才知道，这里是先进行了栅 ......

CNVD-2018-01084 漏洞复现 前言 最近摆大烂，好像什么也没干，简单复现下这个漏洞 固件下载 之前想要复现 D-link 的漏洞时，去官网找附件不是没有就是小版本不对，zikh26 师傅给我说了一个网址这个上面 D-link 的附件基本都有 https://ftp.dlink.ru/pu ......

栈迁移的利用的过程不是很复杂，原理方面是比较麻烦：栈迁移原理介绍与应用 - Max1z - 博客园 (cnblogs.com) 这里简述一下栈迁移的利用过程： 我们先来看一下这道题的程序保护情况： 开了canary，接着看代码逻辑 这里的printf("Hello, %s\n", buf);可以发现 ......

这个小丑看了好久题目才发现保证 \(t\) 不降。 好像与其他题解做法稍有不同。 思路 其他题解的标记做法非常复杂，怎么办。 我们可以使用适用性可加强大的矩阵乘法。 我们考虑维护： \[\begin{bmatrix} \sum v&\sum a\times b&\sum a&\sum b&len\\ ......

作用域Scope 范围链Scope Chain 范围链和调用栈的区别 ......

这道题是简单的libc，不过多分析了 exp： from pwn import * from LibcSearcher import * io=remote("node5.anna.nssctf.cn",28341) elf=ELF("./pwn") put_got=elf.got["puts"] ......

(╯°□°）╯︵ ┻━┻ 50pt (╯°□°）╯︵ ┻━┻ d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9b2b2e1e2b9b9b7b4e1b4b7e3e4b3b2b2e3e6b4b3e2b5b0b6b ......