2024年12月16日 · 经过上面的阐述其实也都直到漏洞的问题所在了，具体的利用思路就是通过load指令读取栈中的一些地址，比如libc中函数的地址，通过sub, add指令的功能减去偏移（这部分最开始思路想歪了，一直想着输出出来，但是其实把基地址算出来存在寄存器里面也一样）,获得到偏移之后就是利用system ("/bin/sh")来执行命令，需要注意的是，这里面栈布局很神奇，在做题的时候发现很多Libc的地址根据s也就是栈中变量的偏移不固定，可以往远处找一找，比如后面 …

2024年11月4日 · 程序存在任意地址 free ，并且可以泄漏堆、栈信息，通过申请大量 message 可以将存储 message 数组的 chunk 大于 0x410。 随后利用任意地址 free 掉 message 数组，这样 message 数组头就会携带上 libc 信息，因此可以通过使用 show 功能泄漏 libc 地址。 利用任意地址 free 在 IO 缓冲区处构造 tcache hijacking ，首先在IO 缓冲区构造 size 为 0x31 的 chunk ，并将其 free 掉，随后修改该 chunk 的 size 为 0x101 同时劫持 tcache->next。

printf可以泄露出s2的值 同时也泄露出libc的信息 然后进入vuln这部分. 依次执行这两个 程序 guess这个位置只要我们两次输入的东西一样就行. 然后进入shell有个溢出 远程测出libc直接打就行. gdb.attach(mx) rl("[!] Please enter your authentication code: \n") 通过溢出劫持seed 然后就可以绕过随机数检测. 存在反向越界，可以修改got 这里的话 16一次有点恶心，我的思路是先修改exit_got表为buy 无限次执行这个漏洞 再泄露libc地址 去修改printf_got 为system地址 最后 …

from pwn import * elf = ELF("./pwn") context(arch=elf.arch, os=elf.os) context.log_level = 'debug' libc = ELF('./libc.so.6') flag=1 url='' port=0 if flag: p = process(elf.path) else: p = remote(url,port) sa = lambda x,y:p.sendafter(x,y) sla = lambda x,y:p.sendlineafter(x,y) it = lambda : p.interactive() uu32 = lambda : u32(p.recvuntil('\xff ...

2024年9月12日 · 学习训练：提供系统安全、Web安全、逆向分析、二进制漏洞挖掘、流量分析、协议分析、IoT等多个类型的学习资源，以及400+在线操作环境，支持用户根据自己的兴趣和学习计划进行练习。 竞赛实战：平台收录了历届XCTF国际联赛的海量题库资源，用户可以通过解决实际问题来提升自己的网络安全技能。 自助办赛：提供轻量级高品质网络安全竞赛产品，支持高校、企业和安全团队组织攻防对抗演练，降低办赛门槛。 社区交流：打造专业的网安交流社区， …

2025年1月30日 · Windows提供 AbnormalTermination 接口，用于了解程序是否非正常退出 __try，才进入到 __finial 内部（正常退出返回假，反之则返回真）。 严格来讲，不只是异常导致的退出才算非正常退出，像 break 、 goto 等流程控制语句离开 __try 时，也算作是非正常退出。 除了这些，Windows还定义了两种接口用于获取异常信息， GetExceptionInformation 接口用于获取异常描述信息 EXCEPTION_POINTERS 的结构体指针， GetExceptionCode 接口用于获取异 …

2024年12月27日 · 这个题的逆向思路非常经典，所以分享一下。 函数主函数如下： _BYTE s[3080]; // [rsp+0h] [rbp-C10h] BYREF unsigned __int64 v5; // [rsp+C08h] [rbp-8h] v5 = __readfsqword(0x28 u); init(); memset (s, 0, 0x300 uLL); write(1, "opcode: ", 8uLL); read(0, s, 0x300 uLL); sub_1230(&unk_40C0, s, 768LL); sub_19F1(&unk_40C0); return v5 - __readfsqword(0x28 u);

需要使用 setcontext 或想办法打 ROP，最终使用 orw 获得 flag. 笔者解这道题的思路是使用 environ 泄露栈地址打 ROP，将在本文中对这种解法展开具体分析. 另外，打 setcontext 也是可以的. 申请出堆块以后，程序读取 read 的返回值作为输入长度，记录到 BookSize，传递给了 aes 加密. 这里使用了一个自定义的 safe_malloc 函数，使用之前提到的 heap_base，它将我们可以申请的块范围锁定到了 0x1000 以内，所以无法使用常规的 tcache 攻击. 由于无法申请出范围以外 …

2024年12月17日 · Ciscn 2025 初赛 PWN avm index只检查最低一位造成的越界读写，读写是栈上的数据，因此ROP即可 读取main函数的返回地址，计算偏移得到 system("/bin/sh") 由于程序不能输入数字，只能自己构造，非常恶心 #!/usr/bin/env python3 from pwncli import *

2024年12月28日 · 意思是这个index可以随便输一个int类型数据，只要不是前面输过的就行. 下面输入content，输入个int64类型的数据，可以占8个字节. part2函数，相当于show。 上来就一个可疑的memset，对v3提高了警惕，此地无银三百两。 输入index，然后如果是没有那个blood的话就报错，这里的index就不能随便输了，一定要输之前输入过的。 随后看到下面有个明显的copy函数，还看到了v3，明显是把数据复制到v3上去，而后面没有操作栈的地方了，因此漏洞肯定出现在这 …