ICode9

目录2022DASCTF-Apr-X-FATE-pwn-wp1 good_luckchecksec漏洞点利用思路EXP2 ssstringchecksec漏洞点利用思路EXP3 easysystemchecksec漏洞点利用思路EXP4 try2findmeTODO5 storageTODO引用与参考 2022DASCTF-Apr-X-FATE-pwn-wp 时间太仓促了，题目逆向的工作量有点大，远程还有不少毛病

环境清单 系统环境 Ubuntu22.04 编写脚本 pwntools ZIO 调试 IDA PRO gdb pwndbg ROP工具 checksec ROPgadget one_gadget LibcSearcher main_arana_offset IDA PRO（运行于windows） IDA主要用于反汇编，静态调试，也可以将部分程序以伪代码的形式给出 IDA Pro 有何用处？ 一分钟

目录2022DASCTFXSU三月春季挑战赛-pwn-wpcheckinchecksec漏洞点利用思路EXPweddingchecksec漏洞点利用思路EXPSU_message引用与参考 2022DASCTFXSU三月春季挑战赛-pwn-wp 今天终于有空来写下wp。最后一题的CVE-2022-0185在学习中，未完待续。 checkin 这题最开始想用one gadget去做，

1.逆向分析 大概是一个二叉树，通过data递归管理，管理堆没有清空子树指针，所以可以伪造堆块造成double free    创造一个0x20的管理块，分别写入data大小，以及创建的数据堆块的地址 然后通过data为索引进行管理，小size放左子树，大size放在右子树，递归调用 _QWORD *__fastcall sub_116C(_

常规check一下，64位程序，没啥 Shift+F12，果然，找到/bin/sh 函数列表里面有一个vulnerable函数，哈哈，还是对新手很友好的，直接告诉你这个函数。有问题，进去看看 可以看到先是定义了一个buf变量，然后输入该变量后面200长度内容。buf的长度为0x80。 很明显read函数存在栈溢出。那么很明显就

  最近才开始接触”pwn“这个东西，这是近两天做的一个题目，然后就想着记一下。 好的，不如正题， 直接nc连接返回空白，然后直接退出，用kali的checksec工具或者是die检测一下附件，    看到有NX，然后是一个64位的应用程序，拖入ida查看，shift+f12看相应的字符串    看到了/bin/sh，    

git clone出现问题：GnuTLS recv error (-54): Error in the pull function. 解决方法：修改下载方式：https --> ssh ssh：Secure Shell 的缩写，由 IETF 的网络小组（Network Working Group）所制定；SSH 为建立在应用层基础上的安全协议。SSH 是较可靠，专为远程登录会话和其他网络服务提供安全性

首先检查保护机制 checksec 64 位 + 什么保护都没开 然后放到ida64中查看 发现gets函数,没有限制数据的长度,容易发生栈溢出 shift+F12 找到bin_sh函数地址 64位程序直接读取偏移量 构造payload,编写exp from pwn import* p=remote("ip",端口) binsh_addr=地址 payload='a'*(0

没有show，没开PIE，got表可写，估计就是控制got表。 只能add两个块，一个是0x28，另一个是0x208。BUU上给的是ubuntu18，没有次数限制，也不删指针明显的UAF。add时用的calloc 。 但是一是没有show，要得到libc需要控制got表，而add时用的calloc不仅会清残留还不用libc-2.27的tcache。这样如果用f

Buuctf 刷题笔记(PWN)(1) mrctf2020_shellcode call了read 大小是400，而栈的大小是410 用汇编直接写的 没别的东西 直接 shell注入即可 exp from pwn import * p=remote("node4.buuoj.cn",26733) #p=process("./mrctf2020_shellcode") context(arch = 'amd64', os = 'lin

保护是全开的 首先来看启动文件 #!/bin/sh ./qemu-system-x86_64 -hda rootfs.ext2 -kernel bzImage -m 64M -append "console=ttyS0 root=/dev/sda oops=panic panic=1" -L ./pc-bios -netdev user,id=mynet0 -device rtl8139,netdev=mynet0 -nographic -device vexx -snap

文章目录 漏洞介绍格式化字符串的格式漏洞原理及利用例题 漏洞介绍 格式化字符串（英语：format string）是一些程序设计语言的输入/输出库中能将字符串参数转换为另一种形式输出的函数。例如C、C++等程序设计语言的printf类函数，其中的转换说明（conversion specification）用于把

目录漏洞介绍格式化字符串的格式漏洞原理及利用例题 漏洞介绍 格式化字符串（英语：format string）是一些程序设计语言的输入/输出库中能将字符串参数转换为另一种形式输出的函数。例如C、C++等程序设计语言的printf类函数，其中的转换说明（conversion specification）用于把随后对应的0个或

写着写着自己都乱了。 菜单很长，块也很大看起来极不方便。 先是建用户和登录这个没啥，然后就是post，每个post会有一个管理块。整理一下大概关系是这样的： 用户块0x220->0x20->0x120->post信息，其中用户块没有溢出，但post有realloc修改，好像就这一个漏洞点。 另外每个头上加了migic：2字节

前言：RWCTF上的一道被打烂了的clone-and-pwn，一开始没搞懂clone是啥子意思，后来队里师傅扔出来一个github链接，才明白原来是直接从github上拉下来的项目，还真是real word github项目地址：https://github.com/parrt/simple-virtual-machine-C/blob/master/src/vm.c 既然是clone就意

SCTF2021 pwn Christmas Bash 出题思路+预期解 sctf2021 pwn出题思路 赛题文件+exp: github 文章目录 SCTF2021 pwn Christmas Bash 出题思路+预期解题目描述Slang-christmas设计思路 2opcode生成scom文件结构dis模块逻辑 漏洞审计类型混淆栈溢出sleep 题目环境利用栈溢出

libc给的是2.23 pie没开 RELRO没开全。 栈地址堆地址都给了。 两个功能 1 2 主功能的free函数有uaf。 直接利用就好。 exp from pwn import * context(os='linux', arch='amd64', log_level='debug') r = process("./mmutag") elf = ELF("./mmutag") libc =

RELRO没开。 程序本身的逻辑是实现了一个boom语言的编译器，我们输入boom语言会给我们编译。 但是对于我们做题人来讲，因为程序体量太大，我们逆向起来会非常麻烦，所以我们结合他一些可能会出漏洞的地方，进行一些猜测并尝试。 我们最后将漏洞点放在了他的array，也就是数组的地方。

查壳，没壳，64 位，IDA 分析一下 第一步 从后往前看，先看最后的输出部分 对 outputString 与23取余和除数，在 a1234567890Qwer 数组中找到位置，再与另外两个数组进行明文比较，所以可以根据逻辑直接得到 outputString str1 = "(_@4620!08!6_0*0442!@186%%0@3=66!!974*3234=&0^3&1@=&0908!

下载文件后，首先检查保护： 随后将文件拖入ida，查看源码，在hello函数中，发现了如下代码 首先用安全的fgets输入了一个变量，接着用不安全的gets接收了一个变量，在此处可以确认是栈溢出，且溢出点就在此处。 开始寻找利用方式，发现了system函数   还缺一个"/bin/sh"字符串，找遍了代码，没有

连接服务 #!/usr/bin/python3 from pwn import * conn = remote('ftp.ubuntu.com',21) str = conn.recvline() print(str) conn.send(b'USER anonymous\r\n') str = conn.recvuntil(b' ', drop=True) print(str) str = conn.recvline() pr

下载文件后，首先检查保护 开启了金丝雀，不能溢出到返回地址 将文件拖入ida阅读  代码逻辑是：首先输入name（赋值给v7），接着使用seed[0]作为种子生成10个随机数，每一轮都要猜对，10轮后进入sub_C3E()函数，我们进入这个函数后，发现是直接执行cat flag。 回头看main函数，发现v7和seed[0]都在

前言 自己做pwn.college的时候写到自己不会的知识点，把题目和找到的资料记录一下 embryoio_level3 知识点是命令行参数和环境变量 参考资料

未知高版本libc的堆问题 题目给了libc但下不来。github在国内没办法。 一般2.23的堆没有tcache第一个块在010，2.27以后加了250的tcache第1个在260,2.31以后在2a0 可以先泄露堆地址再根据大概的版本往下走。 先按2.27在本地作成，发现远程不能用，虽然小于2.31但tcache不能直接doublef

看了半天没看明白，第一次看这东西，后来看了下exp原来如果简单 puts("THOU ART GOD, WHITHER CASTEST THY COSMIC RAY?"); v3 = 1; if ( fgets(s, 50, stdin) ) { v4 = strtol(s, 0LL, 0); v5 = v4; v6 = v4 >> 3; v7 = (void *)((v4 >> 3) & 0xFFFFFF