Jul 13, 2021qwb2021-pwnBaby_diary libc2.31下的off by null 有add、show、delete函數,漏洞點在myread和addkey過程。 myread會在輸入内容結尾追加 '\x00' 字符,addkey在size+1的位置放置算得的一字節key值(content内容纍加、位移,範圍為0x01~0x0f)。 在offbynull利用的過程中,需要覆蓋size的pre_i …5 min read5 min read
Jun 12, 2021【ctf復現】CISCN2021-PWN拖了一個月emmm LonwlyWolf 程式分析 環境:libc 2.27,tcache有key值(1.3之前沒有) delete函數中存在uaf漏洞:Pwn7 min readPwn7 min read
May 25, 2021【復現】dl_runtime_resolve利用1. dl_runtime_resolve 1.1 函數流程 作用:對動態鏈接的函數進行重定位,延遲綁定機制中調用。 _dl_runtime_resolve(link_map_obj, reloc_index) 的兩個參數分別是link_map 指針和 got 表中關於 plt 重定位的索引值。主要流程是遍歷所有的link_map,往下取出當前 link_map 的符號表 ELF Symbol Table和 …Pwn5 min readPwn5 min read
May 13, 2021【津門杯2021】pwn復現1. easypwn 地址泄露 libc2.23的程式,delete 一個 0x80(0x91)的chunk進入unsorted bin就能泄露libc地址。由於show函數加了限制,這裏必須malloc回bin中的chunk才能show。同時由於add函數在content結尾追加 '\x00',得繞過才能打印出地址。根據add的輸入邏輯,輸入size+1時能不追加截斷符,並退 …Pwn4 min readPwn4 min read
May 11, 2021ubuntu18.04環境搭建這幾天整pwndbg整崩了,重裝幾遍都不行。估計環境變量、軟鏈接啥的已經被我整亂了。18的版本用了快一年,一直很穩定。但可能因爲重複安裝或卸載過一些工具,應該堆了不少垃圾文件。既然如此,直接重裝算了。順便記錄一下… 1. 換源 最最重要的事情 — 換源。這裏我用的清華源: ubuntu | 镜像站使用帮助 | 清华大学开源软件镜像站 | Tsinghua Open Source Mirror Ubuntu 的软件源配置文件是 /etc/apt/sources.list 。将系统自带的该文件做个备份,将该文件替换为下面内容,即可使用 TUNA 的软件源镜像。 本镜像仅包含 32/64 位 x86 架构处理器的软件包,在…mirror.tuna.tsinghua.edu.cn 編輯 sources.list 文件前記得先用tar備份。換完源后: sudo apt-g …5 min read5 min read
Apr 28, 2021交叉編譯工具鏈今年1月份的時候在ubuntu上搭建過arm環境,當時只裝了: 也不清楚裝的是什麽,根據名字估計是編譯時需要的庫。搭建完后直接./file或用qemu-arm(需加上-L path)都能運行。但有時gdb調試時,會遇到“符號未定義”的錯誤。 前兩天編譯寫的匯編文件時,直接一堆格式報錯: 這也tcl… 回顧一下整個過程,似乎都沒有涉及到set archit …Cross Compile7 min readCross Compile7 min read
Apr 26, 2021【拆解001】Repoo M10 Plus Wireless Mouse第一次拆解硬件設備,選了個型號最舊、功能最少、設計最簡單的無綫電鼠。(爲什麽呢… 因爲我看這個電鼠不順眼好久辣!拼不回去也不心疼) process 擰開電池底下的螺絲就可以拆開,PCB板仲可以拆出來。 正面: 這裏的芯片型號是Rapoo S03,顯然是Rapoo自主研發的。是鼠標的光學傳感器,也稱光學引擎。DPI高,反應靈敏,不易丟幀。正是這個東西使得鼠 …Disassembly3 min readDisassembly3 min read
Apr 21, 2021【技能+1】反彈shell之前聼別人說反彈shell是web的内容,總感覺會在pwn中用的都是全棧大佬。在復現HITCTF2020的時候,發現簽到題dagongren用的就是反彈shell。趁機學1下,很基礎的shell啊原來是… 原理 與Bind Shell的區別 Bind Shell:將bash shell綁定到指定端口(如4444),從攻擊端連接到被控端的該端口。從而攻擊端發送給受控端的cmd都會 …Pwn5 min readPwn5 min read
Apr 8, 2021【ctf復現003】修改TCACHE_MAX_BINS題目:VNCTF2021-LittleRedFlower 環境:libc2.30,x64,開了沙箱 漏洞:地址任意寫 (該修改的手法對目前有tcache機制的libc版本都可用) TCACHE_MAX_BINS tcache_perthread_struct 是全局的tcache數據結構,存在于每個綫程中。用TCACHE_MAX_BINS 確定 bins …Pwn6 min readPwn6 min read
Apr 5, 2021【CTF復現002】Libc2.32下的tcache attack環境:Libc2.32 漏洞:uaf 方法:double free檢測繞過&IOFILE Libc2.32新增保護機制 先看看Libc2.31中的tcache_put函數。相比以往的libc版本新增了key值,指向tcache: 再看2020年8月的Libc2.32版本。很明顯 e->next 的值發生了變化,在2.32中通過 PROTECT_PTR 函數給它賦值。 該函數將next的地 …Pwn3 min readPwn3 min read