ICode9

精准搜索请尝试: 精确搜索
  • 暑假集训6.282022-06-28 22:05:27

    [GWCTF2019]math pwntools交互题,连接环境    要成功计算150次式子,中间停顿几秒就会终止 在把环境的源代码放进IDE,F5查看代码,在计算正确150次后会进入进入目标系统的/bin/sh文件夹 int __cdecl main(int argc, const char **argv, const char **envp) { unsigned int seed; /

  • [BUUCTF]刷题记录:hitcontraining_uaf2022-05-16 11:35:27

    hitcontraining_uaf 1.checksec: 2.ida分析: 1.main函数: ) 2.menu菜单函数: 根据输入的数字提供程序的不同功能,一共有add,delete,print,exit四个功能: ) 3.add函数: 4.free函数: free之后没有将指针置为0,存在uaf漏洞: 5.print函数: 6.magic函数(后门函数): 3.利用思路: 先用add两次申请

  • 攻防世界-进阶练习-2021-122022-02-24 22:03:44

    WP XCTF House /proc/self/maps 和 /proc/self/mem 虚拟内存泄露 + ROP or FSOP + 栈迁移 这道题好难 保护全开 程序分析 似乎开了沙盒;检查确认下; 看来不能用execve获取shell了;试试orw。 v8 = (char *)mmap(0LL, 0x10000000uLL, 3, 131106, -1, 0LL);程序先mmap出一块可写的PRO

  • 利用realloc调整栈使one_gadget生效2022-02-21 10:59:04

    前言 当堆题保护全开的时候。PIE保护几乎使得unlink失效(除非能够计算出程序基址),FULL RELEO也使得函数GOT表不可修改。此时常覆盖各种函数的hook为one_gadget来getshell。 我常考虑的顺序是: free_hook->malloc_hook->IO_FILE->exit_hook 若有沙盒限制,则考虑setcontext 当free_

  • [ZJCTF 2019]Easy Heap2022-01-14 17:03:42

    通过ida分析程序可以得知 该程序存在堆溢出漏洞 题目中的后门是假的(利用不了 对堆进行编辑的时候 这里写入内容的大小是可以自定义的 所以这里是存在漏洞的 利用思路: 创建chunk 0 1 2 ,chunk1 写入/bin/sh 同时填入垃圾数据 覆盖到chunk2 的 fd指针的位置(free后)fd指针指向的位置

  • house of force2022-01-09 10:02:52

    House of force是一个堆的小利用技巧,要想利用它需要满足两个条件: 1、可以通过溢出修改 top chunk 的 size 2、分配堆的大小没有限制 通过把 top chunk 的size 改的很大,再malloc一个特定的size,使 top chunk 的位置 恰好在目标位置 -0x10 的位置上,再进行分配时,即可分配至目标地址。

  • ctfshow 摆烂杯 pwn2022-01-05 22:31:08

      半年没做过pwn题了,试着用这个比赛的题来捡一捡知识点。 dota   main函数中需要绕过两个判断才能进入存在漏洞的函数。   第一个判断很简单,输入“dota”就行了。   第二个判断,需要先让v5小于0,在经过v5=-v5之后,继续让v5小于0,看看汇编是怎么样的。 NEG是汇编指令中的求

  • 攻防世界 Pwn int_overflow2021-12-25 12:33:56

    攻防世界 Pwn int_overflow 1.题目下载地址2.checksec2.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 没有canary没有PIE 2.IDA分析 在check_passwd函数中有一个strcpy函数当v3>3u且v3<8u进入else。else中把s的值复制到dest,如果s的值够长,就能造出栈溢出。但是3<v3

  • 首届“鹤城杯”河南·鹤壁CTF网络安全挑战赛部分WP2021-12-24 21:58:57

    首届“鹤城杯”河南·鹤壁CTF网络安全挑战赛WP 公众号:Th0r安全 文章目录 首届“鹤城杯”河南·鹤壁CTF网络安全挑战赛WP12345easy_sql_2middle_magiceasy_sql_1EasyPHPSpringeasy_cryptoa_cryptobabyrsaCrazy_Rsa_Techlittle ofBabyofPWN1PWN2PWN3PWN4PWN5PetitionMobile1

  • write up -- Buu magicheap2021-10-30 21:35:46

    简介 buu上的题,着重练习一下堆的解题思路。 附件是64位小端的可执行程序 我们直接ida分析一下吧 这个就是main函数的具体的逻辑是个很明显的菜单题目,一般先看申请堆块的选项,再看free堆块的选项。 我们先来看看申请堆块的选项create_heap() 可以看到除了没有限制申请堆块的大小

  • [pwnable] 3x17 wp2021-10-19 12:34:53

    title: 3x17 description: pwnable | elf文件格式 | ROP ##题目考点 elf文件格式ROP ##解题思路 先checksec,amd64,有nx(其实也有canary但没检测出来),没开PIE,拖入ida进行分析,发现扣掉了符号表; readelf -h一下,找到程序入口点,标准的start函数: ; Attributes: noreturn fuzzy-s

  • BUUCTF 2021-10-4 Pwn2021-10-04 17:04:43

    文章目录 保持手感echo分析EXP Pwnme1分析EXP wdb_2018_1st_babyheap分析EXPFSOP houseoforange_hitcon_2016分析前置知识House_of_orangeFSOP EXP zctf_2016_note3分析EXP gyctf_2020_document分析EXP动态调试复现 护网杯_gettingstart分析EXP picoctf_2018_buffer overf

  • horcruxes2021-09-29 23:02:00

    Voldemort concealed his splitted soul inside 7 horcruxes.Find all horcruxes, and ROP it!author: jiwon choi ssh horcruxes@pwnable.kr -p2222 (pw:guest)   题目开启了seccomp,初始随机生成了7个数,有一个ropme函数,让你输入一个数,如果这个数和随机生成的数一样就进入一个函

  • time_formatter2021-09-21 15:04:24

    题目描述:将UNIX时间转换为日期是很困难的,所以玛丽编写了一个工具来完成这个任务。   程序存在UAF漏洞,当选择exit然后不退出时,程序仅仅free掉了两个指针,但没有置空 strdup也会调用malloc来为新字符串提供空间 因此考虑将 __int64 __fastcall print_your_time() { char command[

  • 记一次比赛复现2021-09-19 14:00:19

    WEB super_php <?php error_reporting(E_NOTICE); highlight_file(__FILE__); @session_start(); $username = @$_GET['username']; if(!@isset($username['admin'])||$username['admin'] != @md5($_SESSION['username'])) {die(&

  • buuoj Pwn writeup 276-2802021-09-06 12:03:03

    276 axb_2019_final_blindHeap 朴实而无华。 参考了大佬。 盲打一篇过 exp做了一点点调整。 from pwn import * all_commodity=1 just_one=2 context.log_level='debug' context.arch='amd64' context.log_level = "debug" # file_name=ELF("./") libc=ELF(&

  • 水几个pwn2021-08-24 19:58:26

    author: moqizou 2020-羊城杯-signin 签到题目2.23的glibc add - 最多10个chunk然后会malloc(0x28)之后就是namesize结构体如下 0x10 chunk 头 0x8 1 inuse位置 0x8 buf->name_chunk 0x8 23字节的message 0x8 看上面可以溢出 然后会把该chunk指针 存入全局table view 通过

  • stack22021-08-16 13:35:46

    题目来源: XCTF 4th-QCTF-2018 题目描述:暂无     程序在change number功能里面没有对下标进行检验,因此可以任意写地址,因此将返回地址更改即可 这题目有点问题,给的后门函数是system("/bin/bash"),但是调用之后会提示你找不到bash,但是也能做 方法是自己构造调用,将返回地址处更改为p

  • Item Board2021-07-18 01:03:27

    nc pwn2.jarvisoj.com 9887     Hint1: 本题附件已更新,请大家重新下载以免影响解题。   ItemBoard.rar.6da1c739ca3041f37c37a9c0cf99afca   函数free过程中,set_null是空的,程序存在着UAF void __cdecl new_item() { int v0; // eax char buf[1024]; // [rsp+0h] [rbp-4

  • [XMAN]level62021-07-17 21:34:01

    nc pwn2.jarvisoj.com 9885     Hint1: 本题附件已更新,请大家重新下载以免影响解题。   level6.rar.69c5609dc9bab6c458b9c70d23e9445d   之前的guestbook2的32位版本 exp如下: from pwn import * def list_note(): io.recvuntil('Your choice: ') io.sendline('1'

  • 2021 蓝帽杯半决赛 write up2021-06-06 18:00:05

  • ciscn_lonelywolf2021-05-18 19:35:26

    lonelywolf from pwn import * context.arch = 'amd64' context.log_level='debug' p=process('./pwn') libc=ELF('./libc-2.27.so') #p=remote('124.71.235.219',25196) def add(idx,size): p.recvuntil('Your

  • 2021全国大学生信息安全竞赛WP(CISCN)2021-05-17 09:59:00

    CISCN_2021_WP 概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构

  • pwny2021-05-16 18:36:18

    checksec发现保护全开,程序扔入IDA 发现程序支持两个功能,读和写 读入部分:       其中0x202860为一个文件标识符,对应的是/dev/urandom,获取的是随机数,程序输出0x202060 + 8 * v1 处的数据 写入部分:       允许输入一个v2,程序在0x202060 + 8 * v2处写入一个字长的随机数 发现读

  • 津门杯pwn2021-05-13 23:58:58

    目录 hello 嘿嘿,单独发纪念一下,首次在国内比赛做出一道pwn题(23/59) hello #!/usr/bin/env python2 # coding=utf-8 from pwn import * arch = "amd64" filename = "hello" context(os="linux", arch=arch, log_level="debug") content = 0 offset =

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有