分析一下程序的源码，程序从/dev/urandow伪随机设备里读出16个字节，前8个字节做为文件名，后8个字节存在该文件内，最后从该文件中读出8字节与传入的参数比较，相等就get flag。

题目说了不能爆破，所以一点头绪也没有。

网上的修改本机host文件方法亲测不管用

通过码去云下载是真的香 https://gitee.com/

注册并登录后创建仓库

拉到下面导入已有你仓库

将github链接导入并创建就完成了

之后进入gitee中的库下载就行了，速度快到飞起

bitflip

edit函数中存在off-by-one漏洞，版本glibc-2.27

add函数将malloc的size限制在了0x50内，不过可以通过off-by-one修改下一个chunk的size实现堆叠，进而释放0x410以上大小的堆，拿到libc

x86和MIPS指令集的差异

1、MIPS指令系统大量使用寄存器，包括返回地址也是存放在ra寄存器中的

2、没有堆栈直接操作的指令，也就是就没有push 和pop 指令

3、所有指令都是32位编码，也就是说所有的数据和指令都是4字节对齐

由于MIPS固定指令长度，造成其编译后的二进制文件和内存占用空间比x86的要大

MIPS指令集使用uclibc C标准库，x86使用libc的C标准库

MIPS的指令用法和两者的差异可以参考这里

很有意思的一题，主要考察realloc函数
checksec:保护全开，libc2.27，引入了tcache 机制

1
2
3
4
5

Arch:     amd64-64-little
   RELRO:    Full RELRO
   Stack:    Canary found
   NX:       NX enabled
   PIE:      PIE enabled

easy_pwn

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

// off-by-one
__int64 __fastcall sub_E26(signed int a1, unsigned int a2)
{
  __int64 result; // rax




  if ( a1 > a2 )
    return a2;
  if ( a2 - a1 == 10 )
    LODWORD(result) = a1 + 1;   //off-by-one
  else
    LODWORD(result) = a1;
  return result;

认真梳理一下re2dl_runtime_resolve

原理

写个c程序自己测试一下：

1
2
3
4
5
6
7
8
9
10
11
12
13

#include <stdio.h>
void vuln(){
	char buf[28];
	read(0,buf,128);
}
int main(int argc, char const *argv[])
{
	char name[] = "input your name: ";
	write(1,name,strlen(name));
	vuln();
	return 0;
}
// gcc -g -m32 -fno-stack-protector test.c test32

概述

SM4加密算法属于对称加密算法，2012年3月，国家密码管理局正式公布了包含SM4分组密码算法在内的《祖冲之序列密码算法》等6项密码行业标准。与DES和AES算法类似，SM4算法是一种分组密码算法。其分组长度为128bit，密钥长度也为128bit。加密算法与密钥扩展算法均采用32轮非线性迭代结构，以字（32位）为单位进行加密运算，每一次迭代运算均为一轮变换函数F。SM4算法加/解密算法的结构相同，只是使用轮密钥相反，其中解密轮密钥是加密轮密钥的逆序。

SM4算法结构图：(图片来源网上)