题解dataleakcJSON库里cJSON_Minify函数有个漏洞void cJSON_Minify(char *json) { char *into=json; while (*json) { if (*json==' ') json++; else if (*json=='\t') json++; /* Whitespac...     继续阅读

两个题都是aarch64Master of HTTPD分析IoT题，aarch64，题目修改了mini_httpd的身份验证部分，加了一个输出认证信息的函数——没留意终端STDOUT...这里耽误了点时间。mini_httpd的源码可以在官网下载。新加的函数在0x4046D0，base64完后的拷贝有栈溢出，刚好也比较好控制X30寄存器中的返回地址。程序里面有个挺好用的万能gadget，就是...     继续阅读

原先是一篇一篇写，想着反正学无止境，干脆直接归档起来，也方便阅读...一、关于 Go 语言闭包函数的一些分析0x00 关于闭包概念闭包函数的特性存在于很多高级语言中。简而言之：如果函数A的返回值也是一个函数L，其作为返回值的函数L使用了这个函数A所创建的某个局部变量，并把对这个局部变量的控制能力（使用权）提供给了外部的某个函数B，就会产生所谓的闭包。对于只学过传统的编程语言（如C语言）的人，...     继续阅读

VxWorks是工控安全中常用的一种RTOS，之前我也写过关于手动提取分析TP-Link上的固件并尝试修复和逆向的文章，但终究不够系统。这里主要是想收集一些介绍VxWorks的而且比较浅显的资源——共勉！VxWorks官网主站https://www.windriver.com/products/vxworks官网提供的CVE数据库https://support2.windriver.com/...     继续阅读

QEMU 逃逸题目的一些存档，不太全d3ctf - d3dev我自己出的qemu pwn入门题，适合学习该方向一些基本分析知识和基本脚本框架，多看看没坏处github强网杯 2019 - qwct & ExecChromeqwct & ExecChrome重点在第二题的ExecChrome，使用了dma越界，以及timer的经典思路来打，是很多其它比赛的理论基础exp: githubr3ka...     继续阅读

bytezoomC++下的堆利用，对于有C++基础的人来说应该很快看出要点在于错误的使用了shared_ptr的裸指针，形成悬挂指针，进而UAFEXP：from pwn import * import time #p = process("./bytezoom", env = {"LD_PRELOAD":"./libc-2.31.so&qu...     继续阅读

不定期更新，先贴做出来的，部分题目复现出来再更新0x00 前言今年依然是第三0x01 Secure JIT II分析一个python语言子集的的JIT，可以生成x64汇编代码，题目给出了一个相对于原工程的diff文件，通过比对发现：题目版本删除了部分代码并在末尾通过mmap开辟一个可执行段，将汇编成二进制的机器码放到里面执行并取出返回值。需要注意的是，在mmap中执行的时候是从段起始来运行，...     继续阅读

0x00 固件来源宿舍有台自用的TP-LINK TL-WDR7660，搭载的是VxWorks（一种RTOS），和一般品牌路由器固件差别挺大的但是搜索了一圈发现不管是新版还是旧版固件解压和提取都有一定的套路，只不过网上大部分分析比较倾向于某个特例先去官网下个最新版固件：下完解压会得到类似这样一个bin文件：0x01 固件提取binwalk分析直接binwalk跑一下会得到类似以下结果：➜ T...     继续阅读

Experience这是一个32bit MIPS大端序的httpd固件。比赛过程挺曲折的，一开始本地调试用的qemu-user没管随机化问题，于是通过在uClibc中手动审计找了一个类似one_gadget的东西拿了shell。但是后来试了试发现远程起在qemu-system，于是就索性试试1/4096看能不能爆到——很遗憾没有hhh。知道远程有随机化后我尝试过几个思路，但是都是差最后一点没...     继续阅读

TCTF题目质量一如既往很高，而且uc(unicorn)系列挺好玩hhh 高校榜 ![TCTF_quals_2021.png][1] Pwnlistbook比较有意思而且不算难的堆利用题目实现了简易的哈希表，同哈希idx的用单链表连接。哈希值计算的时候abs8()使用不当，传值为0x80的时候返回idx为负数，下标溢出到vaild_list，造成idx0的enable位非0，...     继续阅读

线上赛撞了四六级，虽然慢了一点但是还是尽量追赶了，比较可惜的是有的题没来得及看...ban完一堆队伍之后喜提线下hhhorw堆有rwx权限，下标溢出写got函数为堆地址，在两个堆块上拼接shellcode调用read读入shellcode进行orw拿flagfrom pwn import * #p = process("./pwn", env={"LD_PRELOAD":"./libc...     继续阅读

题目很有意思，学到很多parser这题是一个魔改的httpd，Content-Length小于0时存在格式化串漏洞，leak后写one_gadget即可from pwn import * #p = process("./chall", env={"LD_PRELOAD":"./libc-2.27.so"}) p = remote("47.105.94.48", 12435) elf = E...     继续阅读

一个QEMU逃逸题，虽然漏洞的逻辑也不复杂，但是此类UAF利用思路可以借鉴一下，还是很有价值的。转自：http://pzhxbz.cn/?p=166Easy_Escape is a qemu escape challenge in RealWorld CTF 2021,It implement a deivce named fun and has two operations: fun_mm...     继续阅读

0x00 Before审计固件的时候碰到了一个mips64下uClibc堆管理利用的问题，恰巧网络上关于这个的分析不是很多，于是研究了一下。并不是很全面，做个索引，若有进一步了解时继续补全。0x01 何为uClibc？面向百度百科的废话uClibc 是一个面向嵌入式Linux系统的小型的C标准库。最初uClibc是为了支持uClinux而开发，这是一个不需要内存管理单元的Linux版本，因此...     继续阅读

before周末打了一下DASCTF，基本都是菜单题的堆利用，除了有一题打safe-linking比较新，其它都比较常规。特别吐槽一下服务器...老是断fruitpie拿一个大堆块可以得到一个新段，其地址和glibc映射到内存中的起始地址是个固定偏移，onegadget一把梭from pwn import * #p = process("./fruitpie", env={"LD_PR...     继续阅读

拟态防御百度百科，看看就好拟态现象（Mimic Phenomenon, MP）是指一种生物如果能够在色彩、纹理和形状等特征上模拟另一种生物或环境，从而使一方或双方受益的生态适应现象。按防御行为分类可将其列入基于内生机理的主动防御范畴，又可称之为拟态伪装（Mimic Guise, MG）。如果这种伪装不仅限于色彩、纹理和形状上，而且在行为和形态上也能模拟另一种生物或环境的拟态伪装，我们称之为“...     继续阅读

分析题目主要逻辑非常短：int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char s; // [rsp+0h] [rbp-90h] unsigned __int64 v4; // [rsp+88h] [rbp-8h] v4 = __readfsqword(0x28u); ...     继续阅读

请输入密码访问     继续阅读

分析这题乍一看感觉到处都是洞...而且非常纷乱，难以理清思路。但是这题最关键的洞在于实现部分GHOST子类的时候缺少拷贝构造函数。于是应该重点检查成员变量在vector::push_back()触发浅拷贝时的安全性。如吸血鬼Vampire类中char *blood在浅拷贝析构时会发生delete[] blood;。也就是说当一个Vampire实例放入vector中时，它的blood指针就指向...     继续阅读

分析这题和pwnable.kr原题的差别在于程序本身没有了syscall这个gadget，需要另找别处。题目给了read和栈溢出，栈迁移是少不了的。考虑到GOT表可写，并且关于read的库实现有个可以利用的gadget：在read库函数起始位置+0xe的时候有一个syscall，并且只要返回值正常，后面会接上ret （重点！）。思路 由分析可知，这题的关键在于控制read库函数+0xe处的...     继续阅读