StupidNote

glibc2.31下的off-by-null，禁用了execve，并且加了点料

这里的off-by-null藏得很深，我也是在放出hint后才找到的

蛮有意思的一题，格式化字符串，0x18个字节，2次机会，数据写在栈上；

很显然需要构造循环多次利用格式化字符串漏洞，第一次用来泄漏地址，第二次修改返回地址为main,回到printf处继续利用

wind_farm_panel

堆溢出，没有free，house of orange 一把梭

easywrite

程序保护全开，给了libc，有个任意地址写，然后再malloc(0x30) read and free(ptr)

利用思路：写tcache_ptr，修改tcache[0x40] 为 free_hook-0x10，之后覆盖free_hook-0x10为”/bin/sh\x00”，free_hook为system；free(ptr) get shell

gun

保护全开，且沙箱限制了只能使用open,read,write,exit4个函数

总共有3个功能，买子弹，上膛，发射，购买时可以给子弹命名，发射时会输出 子弹名字

1
2
3
4
5

1.Shoot
2.Load 
3.Buy  
4.Exit 
Action>

编译

本文使用的是qemu-2.10.1，linux-4.10.10

编译qemu时关闭优化并开启调试信息，方便调试

1
2

cd qemu-2.10.1/
CFLAGS="-no-pie -fno-stack-protector -z execstack" ./configure --enable-debug --disable-strip

easy_stack

格式化字符串泄漏canary后和libc，gets栈溢出

x86和MIPS指令集的差异

1、MIPS指令系统大量使用寄存器，包括返回地址也是存放在ra寄存器中的

2、没有堆栈直接操作的指令，也就是就没有push 和pop 指令

3、所有指令都是32位编码，也就是说所有的数据和指令都是4字节对齐

由于MIPS固定指令长度，造成其编译后的二进制文件和内存占用空间比x86的要大

MIPS指令集使用uclibc C标准库，x86使用libc的C标准库

MIPS的指令用法和两者的差异可以参考这里

网上的修改本机host文件方法亲测不管用

通过码去云下载是真的香 https://gitee.com/

注册并登录后创建仓库

拉到下面导入已有你仓库

将github链接导入并创建就完成了

之后进入gitee中的库下载就行了，速度快到飞起

发现太久没有写博客了，就放一下刚打完的被喷得怪可怜的第5**空间的一点wp吧。

立雪

edit 函数没有对size进行检测，所以可以任意长度的堆溢出

​

而且程序存在后门函数，unlink到0x602088修改为0xffff即可(其实最快速的做法是unsortedbin attack到0x602088)