pwn

### babyheap_0ctf_2017 **堆溢出，extend overlap，unsortedbin leak，fastbin attack** edit选项可以随意溢出堆块，通过扩展堆块造成重叠，把后面一个bins的fd给打出来，从而泄露libc，通过fastbin attack将mal ......

FGASLR（Function Granular KASLR）是KASLR的加强版，增加了更细粒度的地址随机化。因此在开启了FGASLR的内核中，即使泄露了内核的程序基地址也不能调用任意的内核函数。 ......

# CISCN东北赛区-2023-pwn-all ## Novice Challenge ### 漏洞利用 改strlen的got表 ### EXP ```python #!/usr/bin/env python3 from pwncli import * cli_script() io: tube ......

Linux 内核是 Linux操作系统的核心组件，它提供了操作系统的基本功能和服务。它负责管理计算机硬件和软件资源，并为应用程序提供必要的基础支持。Linux内核是一个模块化的系统，可以根据需要加载和卸载各种驱动程序和功能模块。 ......

## test_your_nc nc连上去就是一个shell ## pwn1 **gets栈溢出，ret2text** 打远程的时候遇到如下报错，原因可能有两个 ``` timeout: the monitored command dumped core ``` 一是get_flag后未正常退出，需 ......

备忘 题目一般包含的两部分 * 含有漏洞的二进制程序 * 远程运行二进制程序的ip和端口 * 利用程序漏洞读取flag * 任意代码执行 * 本地提权 * *** 一般流程 Binary $\to$ 逆向找洞 $\to$ 写漏洞利用程序 $\to$ 本地调试 $\to$ 打远程 $\to$ 读fla ......

使用说明： - 确保下载好tmux后，使用tmux命令进入tmux终端 - 根据ELF文件位数选择context - elfFile添加ELF文件路径 - remoteIp添加远程连接的IP - remotePort添加远程连接的Port - libFile添加本地库 - REMOTE表示远程连接， ......

在学习ret2syscall中 ROPgadget --binary rop --ropchain 这个命令 payload直接自动生成,仔细阅读一下自动生成的，发现就是都是利用片段拼接，而且只调用了一次int 0x80，调用的这次也是咱们那个只能用一次的int 0x80的那个地址。这种直接生成的p ......

WP_OVERFLOW2 拿到程序，首先放到我们的kali里面看看是多少位的程序，然后在看看有没有什么安全属性 64位程序，并且开启了RELRO，NX 也就是说，这道题我们需要使用ROP绕过 使用ida64打开这个程序，对这个程序的伪代码进行分析 首先看看main函数 发现最开始定义的buf是32个 ......

# 2023年第三届陕西省大学生网络安全技能大赛-pwn-may be all? ## 前言 校队丢了两道题给我，看了看都是简单题，简单做了做。不知道具体叫什么名，就用pwn1、pwn2代替了。 ## pwn1 简单的格式化字符串泄露，除了远程docker的变量偏移不一样之外，没什么好说的。（出题人 ......

**本文通过结合其他师傅的思路以及自己的一些理解完成。希望在记录自己所学知识的同时能够帮助有同样疑惑的人。pwn入门新手一个，如果有说错的地方请师傅们多多包涵** ## 0x00 前置知识 本题关键汇编指令:mov指令和lea指令以及ret指令 **mov** > mov指令的功能是传送数据，它可以 ......

先检查一下开了什么保护机制 打开32位ida看看 这个是啥鸭，像这种c++的代码最难看了，只能一个函数一个函数的百度 我在这边简述一下，这些函数一大串就是实现了把s数组中的I整体替换成了you，其他的就没了，然后我们先去找找有没有后门函数之类的 找到了一个叫做get_flag的函数，打开一看，确实是 ......

72217_格式化字符串不在栈上的利用方式 格式化字符串不在栈上的利用方式, 参数在 .bss 段，不在栈上 """ |0a:0050│ 0x7ffe9b362c80 —▸ 0x4005d0 (_start) ◂— xor ebp, ebp │13:0098│ 0x7ffe9b362cc8 —▸ 0 ......

攻防世界：CGfsb checksec查看保护机制，开启了NX和Canary，32位ELF。 反汇编代码如下： int main(){ char buf[0x7E - 0x76]; ebp-7E short int anonymous_0; ebp-76 char s[0x74 - 0x10]; e ......

DASCTF Apr.2023 X SU战队2023开局之战 pwn four 漏洞是2.23的ssp leak和未初始化漏洞 主要的难点就是分析程序而且题中有一些干扰选项 保护 程序分析 主函数有4个选项 1：是干扰的选项(因为会关闭标准错位流，那就没法打ssp leak) 2：这个函数中有一个未 ......

这是昨天的长城杯线下决赛题目，找其它参加的师傅要了 pwn 方向的题目来做，一共有两道题，题目质量很不错，都是对逆向动态调试有一定要求才能做出的类型， 我想这也是之后国内CTF比赛 pwn 方向赛题的转变趋势吧。 就是很遗憾没能参加，，，，不然靠做 pwn 应该都能保底拿奖了 fast_emulat ......

[BJDCTF 2nd]r2t3 写出反汇编代码如下： int ds:__bss_start; int main(){ char buf[0x408 - 4] int var[4]; my_init(); puts("**********************************"); put ......

ciscn_2019_c_1 （ret2libc + rop） checksec查看保护机制，开启了NX，不能往栈里写入shellcode。 encrypt函数反汇编 encrypt(){ char s[50]; puts(Input your Plaintext to be encrypted) ......

pwn | hitcontraining_uaf 凭自己理解打通的堆题，很爽。 uaf ret2text exp: from pwn import * from LibcSearcher import * context.log_level = 'debug' # p = process('./ha ......

pwn | wustctf2020_getshell x86 ret2text exp: from pwn import * from LibcSearcher import * context.log_level = 'debug' p = remote('node4.buuoj.cn', 280 ......

pwn | jarvisoj_level3_x64 x64 ret2libc exp: from pwn import * from LibcSearcher import * context.log_level = 'debug' p_vuln = 0x00000000004005E6 p_mai ......

pwn | picoctf_2018_rop chain 栈溢出ret2text。 exp: from pwn import * context.log_level = 'debug' p_vuln = 0x08048714 p_win1 = 0x080485CB p_win2 = 0x080485 ......

pwn | 更改libc踩坑记 之前就一直没弄懂这一块儿，毕竟linux的动态链接机制比windows要复杂不少（个人感觉） 关键词：libc, glibc-all-in-one, patchelf，rpath 因为libc版本不同会导致堆管理不一样，所以就需要手动改。 先装glibc-all-in ......

源码如下： #include <stdlib.h> #include <unistd.h> #include <stdio.h> #include <string.h> void getpath() { char buffer[64]; unsigned int ret; printf("input ......

(gdb) disass main Dump of assembler code for function main: 0x08048494 <main+0>: push ebp 0x08048495 <main+1>: mov ebp,esp 0x08048497 <main+3>: and es ......

(gdb) disass main Dump of assembler code for function main: 0x08048438 <main+0>: push ebp 0x08048439 <main+1>: mov ebp,esp 0x0804843b <main+3>: and es ......

(gdb) disasse main Dump of assembler code for function main: 0x08048464 <main+0>: push ebp 0x08048465 <main+1>: mov ebp,esp 0x08048467 <main+3>: and e ......

无痛入门Pwn系列 Stack0题解 前提学习 GDB反调试相关 设置反汇编代码格式为intel格式 set disassembly-flavor intel 反汇编函数 disas/disass/disassemble 函数名/起始地址[,结束地址] 示例： disass main 具体反汇编哪一 ......

第一次参加CTF新生赛总结与反思 因为昨天学校那边要进行天梯模拟赛，所以被拉过去了。16点30分结束，就跑回来宿舍开始写。第一题和第二题一下子getshell，不用30分钟，可能我没想那么多，对比网上的WP，自己和他们有点不太一样，比较暴力。大概17点10的时候，写第三题，可能自己第一次遇到随机数问 ......

想起自己貌似没有发过比赛的 wp，也完完整整地参加了好几个比赛，之后会陆续发 ctfshow 愚人杯做完 pwn 方向的题目就溜了，拿了三个一血、两个二血。感觉自己棒棒哒。 easy_checkin 把 show 功能函数放在堆块上且自带后门的题目，存放 UAF 漏洞，修改下 show 功能函数为后 ......