往者不可谏，来者犹可追

介绍 一般 VM PWN 的漏洞基本都是边界检测的问题，比如: 符号位的检测, SP 的检测啊，寄存器指针的检测等等 正式分析程序之前，需要手动设置 IDA, 修复 switch 结构的识别，可以参照 在 IDA Pro 中恢复 switch 语句 程序分析 稍做处理后，程序大概是这样 puts("[+] Welcome to MVA, input your code now :"); ... Read More

介绍 本题需熟练掌握 teacher 和 student 身份频繁切换 思路大概是这样的，程序有一个打印堆地址的函数，以此为突破口 student pray 让 qword_5080[a1] + 24LL == 0 int __fastcall pray(int a1) { puts("prayer...Good luck to you"); *(_DWORD *)(qword_5080... Read More

介绍 fastbin attack 是指所有基于 fastbin 机制的漏洞利用方法。这类利用的前提是： 存在堆溢出、use-after-free 等能控制 chunk 内容的漏洞 漏洞发生于 fastbin 类型的 chunk 中 fastbin attack 具体有以下几个分类： Fastbin Do... Read More

1. 背景 对于不同的应用来说，由于内存的需求各不相同等特性，因此目前堆的实现有很多种，具体如下 dlmalloc – General purpose allocator ptmalloc2 – glibc jemalloc – FreeBSD and Firefox tcmalloc – Googl... Read More

题目检查 全绿 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 分析 首先进入main函数, buf存在栈溢出可以覆盖随机数种子并泄漏canary和一个栈地址,之后进入... Read More

Vader from pwn import * from LibcSearcher import LibcSearcher from sys import argv context.log_level = 'debug' context.os = 'linux' context.arch = 'amd64' context.terminal = ['tmux','splitw','-h'] b... Read More

Off By One 通常的利用思路是覆盖被溢出堆块的下一个堆块size域的最低一字节，可以扩展堆块，也可以缩减堆块，只是后者对数据构造的要求更高一些 后向扩展 这里称被溢出堆块的下一个堆块为target堆块 通过off by one漏洞可以轻易地让target堆块的size变大，即可让tar... Read More

This note demonstrates some of what Markdown is capable of doing. An exhibit of Markdown Note: Feel free to play with this page. Unlike regular notes, this doesn’t autom... Read More

basic-file-exploit 思路 先选1随便写入几个数据，满足inputs != 0的要求 if (inputs == 0) { puts("No data yet"); continue; } 然后选2输入不含数字的字符串满足以下要求，即可拿到flag if ((entry_number = strtol(entry, NULL, 10)) == 0)... Read More

检查程序 程序语义很简单，buf数组最多有0x10的溢出，No canary，开了NX，没有任何的输出函数 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[160]; // [rsp+0h] [rbp-A0h] BYREF setvbuf(stdin, 0L... Read More