Experience 这是一个32bit MIPS大端序的httpd固件。比赛过程挺曲折的,一开始本地调试用的qemu-user没管随机化问题,于是通过在uClibc中手动审计找了一个类似one_ga...
[强网杯2021-线上赛] Pwn方向writeup
线上赛撞了四六级,虽然慢了一点但是还是尽量追赶了,比较可惜的是有的题没来得及看... ban完一堆队伍之后喜提线下hhh orw 堆有rwx权限,下标溢出写got函数为堆地址,在两个堆块上拼接shel...
![转载:[rwctf2021] Easy Escape](https://eqqie.cn/wp-content/themes/begin5.2/timthumb.php?src=https://i0.wp.com/boke.pzhxbz.cn/rwctf_easy_escape-1.png?w=640&w=280&h=210&a=&zc=1)
binary
转载:[rwctf2021] Easy Escape
一个QEMU逃逸题,虽然漏洞的逻辑也不复杂,但是此类UAF利用思路可以借鉴一下,还是很有价值的。 转自:http://pzhxbz.cn/?p=166 Easy_Escape is a qemu es...
从uClibc部分源码总结固件利用思路的变化
0x00 Before 审计固件的时候碰到了一个mips64下uClibc堆管理利用的问题,恰巧网络上关于这个的分析不是很多,于是研究了一下。并不是很全面,做个索引,若有进一步了解时继续补全。 0x0...
[DASCTF 2021.03] Pwn方向完全writeup
before 周末打了一下DASCTF,基本都是菜单题的堆利用,除了有一题打safe-linking比较新,其它都比较常规。 特别吐槽一下服务器...老是断 fruitpie 拿一个大堆块可以得到一个...
![[pwnable.tw] printable - 利用exit过程伪造.fini_array到可控内存](https://eqqie.cn/wp-content/themes/begin5.2/timthumb.php?src=https://eqqie.cn/wp-content/uploads/2021/02/FMTQXDNJBGQGP@MZT.png&w=280&h=210&a=&zc=1)
binary
[pwnable.tw] printable – 利用exit过程伪造.fini_array到可控内存
分析 题目主要逻辑非常短: int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char s; ...
![[ByteCTF] Pwn - leak (golang data race)](https://eqqie.cn/wp-content/themes/begin5.2/timthumb.php?src=https://pic1.zhimg.com/80/67f09d490f69eec14c1824d939938e14_720w.jpg?source=1940ef5c&w=280&h=210&a=&zc=1)
binary
[ByteCTF] Pwn – leak (golang data race)
一道google题 golang相关 一些特性 golang默认是静态编译,而且系统ASLR不作用在goroutine自己实现和维护的栈上。从这题上看,main调用了hack,所以对hack的改动不会...
![[转载] LLVM](https://eqqie.cn/wp-content/themes/begin5.2/timthumb.php?src=https://upload-images.jianshu.io/upload_images/3008243-6951acfcbe4e9eff.jpg&w=280&h=210&a=&zc=1)
binary
[转载] LLVM
转载自: https://www.cnblogs.com/wuhh123/p/10668609.html 什么是LLVM LLVM项目是模块化、可重用的编译器以及工具链技术的集合。 美国计算机协会 (...
![[heap] House of Einherjar - 2016 Seccon tinypad](https://eqqie.cn/wp-content/themes/begin5.2/timthumb.php?src=https://eqqie.cn/wp-content/uploads/2020/06/backward_consolidate-1024x598.png&w=280&h=210&a=&zc=1)
binary
[heap] House of Einherjar – 2016 Seccon tinypad
虽然这也不是啥特别高级的技术,都是已有技术的组合。但是在实际运用的时候面临各种条件限制,各种奇葩构造方式真是让人心力憔悴。这部分wiki里给的例题还不错,集合了很多实用的技巧,值得深入分析。 引用: ...
[heap] House of Orange 堆利用技巧
参考来源: https://wiki.x10sec.org/pwn/heap/house_of_orange/ (这里总结一下做个笔记) 0x00 背景 少数情况下不能直接控制free函数释放掉想要的...
![[SROP] ciscn_2019_s_3题解](https://eqqie.cn/wp-content/themes/begin5.2/timthumb.php?src=https://wiki.x10sec.org/pwn/stackoverflow/figure/srop-example-1.png&w=280&h=210&a=&zc=1)
binary
[SROP] ciscn_2019_s_3题解
这是一道入门级别的Kernel rop,但是写的时候不小心翻车了,记录一下一些细节。 0x00 分析 首先在IDA中可以发现三个主要的函数 main text:000000000040051D ; i...
[pwn] 踩坑记录:ciscn_2019_c_1 – 关于payload破坏的绕过
本质上是个很简单的pwn,但是开头对payload的异或运算破坏了payload结构,于是一直想着怎么构造payload,忽略了一个绕过技巧。 0x00 题目本身不复杂,可以操作的就是一个加密功能,g...
![[pwn] Unsorted_bin_attack的基本利用思路](https://eqqie.cn/wp-content/themes/begin5.2/timthumb.php?src=https://eqqie.cn/wp-content/uploads/2020/04/unsortedbin-attack过程-1024x450.png&w=280&h=210&a=&zc=1)
binary
[pwn] Unsorted_bin_attack的基本利用思路
0x00 原理 Unsorted_bin_attack 是一种比较基础的堆利用手法,常用于可以通过溢出,uaf或其它一些手法控制Unsorted_bin中末尾块(unsorted_arena->...
![[pwn] 高级rop技巧:SROP(Sigreturn Oriented Programming)](https://eqqie.cn/wp-content/themes/begin5.2/timthumb.php?src=https://wiki.x10sec.org/pwn/stackoverflow/figure/ProcessOfSignalHandlering.png&w=280&h=210&a=&zc=1)
binary
[pwn] 高级rop技巧:SROP(Sigreturn Oriented Programming)
这玩意太烧脑了,网上找到相关的题也不多,故记录一下学习心得待日后忘了的时候方便回忆一下... Linux 下的signal机制 为了使用SROP,最好是对linux下的signal机制做好功课。对于不...
![[pwn] 高级ROP技巧:ret2_dl_runtime_solve](https://eqqie.cn/wp-content/themes/begin5.2/timthumb.php?src=https://eqqie.cn/wp-content/uploads/2020/04/re2_dl_runtime_resolve-1024x442.png&w=280&h=210&a=&zc=1)
binary
[pwn] 高级ROP技巧:ret2_dl_runtime_solve
这是一种较难理解的rop技巧,虽然pwntool直接提供了现成的模块进行利用但是我还是打算从原理上摸清楚本文适合具有一定ROP基础的读者阅读示例:XDCTF2015 bof 0x00 原理 说实话查了...
[pwn] partial overwrite:应对地址随机化的小技巧
遇到栈相关的题如果打开了pie和canary是挺麻烦的,但是如果合理的利用栈泄露和部分字节覆写还是可以达到一定程度的程序流控制示例题目: 安恒杯 2018 .07月赛 babypie Arch: am...
![[笔记] 在发生Unlink时一个要注意的细节](https://img-blog.csdnimg.cn/20190730091439309.png)
binary
[笔记] 在发生Unlink时一个要注意的细节
在写题的时候遇到了一个诡异的问题。去请教了槐师傅,学到了一点带源码调试的技巧,于是尝试手动调试了好久才找到大致原因,归根结底还是没有把glibc中各种堆相关的实现和宏看得足够明白,以至于忽略了一些可能...
![[pwn] 2016_zctf_note2 (Unlink)](https://eqqie.cn/wp-content/themes/begin5.2/timthumb.php?src=https://wiki.x10sec.org/pwn/heap/figure/unlink_smallbin_intro.png&w=280&h=210&a=&zc=1)
binary
[pwn] 2016_zctf_note2 (Unlink)
算是unlink的一道经典题目,借助这道题来整理一下Unlink任意写的基本使用方法与注意事项。exp参照官方wp做了调整。 这里不对题目本身做太多逆向分析,下面是下载链接,包含了题目和exp:点击下...
[pwn] 2014_hack.lu_oreo (House of sprit )
题目很巧妙,而且很容易忽略一些细节导致掉进坑里出不来。本人在写的时候就遭遇了一些百思不得解的问题,而后通过慢慢的调试推演找到了问题所在地。在博客里?一下,防止以后再犯。参考资料: https://wi...
[heap] __malloc_hook初体验
在Arbitrary Alloc 的学习中,不可避免的一种用法就是通过字节偏移伪造size域绕过malloc的检测从而在__malloc_hook处伪造一个chunk,达到任意写的目的。 参考资料:h...
[pwn] hacknote (UAF)
Linux中堆相关的基础知识太多了,研究了好久(为此还专门装了一个ubuntu 16.04 ),尝试做uaf题的时候按照自己的理解写exp,然后很顺利的成功了,记录一下我的思路。 题目分析 题目:ha...
binary
base64加密原理以及C语言实现
按照二进制学习的路线,了解二进制程序常用的加密方式以及对应的汇编、伪代码特征是很必要的。我在CSDN上看了很多篇方法都不一样,而且很冗长,于是打算自己用C实现一下。 0x00 base64的原理 编码...
