R4bb1t的ctf博客


  • 首页

  • 关于

  • 标签

  • 分类

  • 归档

  • 搜索

2020 pwnhub 双蛋内部赛

发表于 2021-01-01 | 分类于 ctf

StupidNote

glibc2.31下的off-by-null,禁用了execve,并且加了点料

这里的off-by-null藏得很深,我也是在放出hint后才找到的

1

阅读全文 »

2020 pwnhub 公开赛 -- easypwn

发表于 2020-12-26 | 分类于 pwn

蛮有意思的一题,格式化字符串,0x18个字节,2次机会,数据写在栈上;

很显然需要构造循环多次利用格式化字符串漏洞,第一次用来泄漏地址,第二次修改返回地址为main,回到printf处继续利用

阅读全文 »

2020纵横杯 pwn writeup

发表于 2020-12-26 | 分类于 pwn

wind_farm_panel

堆溢出,没有free,house of orange 一把梭

阅读全文 »

2020nu1lctf

发表于 2020-11-27 | 分类于 pwn

easywrite

程序保护全开,给了libc,有个任意地址写,然后再malloc(0x30) read and free(ptr)

利用思路:写tcache_ptr,修改tcache[0x40] 为 free_hook-0x10,之后覆盖free_hook-0x10为”/bin/sh\x00”,free_hook为system;free(ptr) get shell

1

阅读全文 »

2020bytectf

发表于 2020-10-26 | 分类于 pwn

gun

1

保护全开,且沙箱限制了只能使用open,read,write,exit4个函数

总共有3个功能,买子弹,上膛,发射,购买时可以给子弹命名,发射时会输出 子弹名字

1
2
3
4
5
1.Shoot
2.Load
3.Buy
4.Exit
Action>
阅读全文 »

cve-2020-14364 qemu逃逸漏洞分析

发表于 2020-10-23 | 分类于 漏洞

编译

本文使用的是qemu-2.10.1,linux-4.10.10

编译qemu时关闭优化并开启调试信息,方便调试

1
2
cd qemu-2.10.1/
CFLAGS="-no-pie -fno-stack-protector -z execstack" ./configure --enable-debug --disable-strip
阅读全文 »

第三届“强网”拟态精英挑战赛pwn全解

发表于 2020-06-23 | 分类于 pwn

easy_stack

格式化字符串泄漏canary后和libc,gets栈溢出

阅读全文 »

路由器漏洞挖掘入门之栈溢出

发表于 2020-06-21 | 分类于 IOT

x86和MIPS指令集的差异

1、MIPS指令系统大量使用寄存器,包括返回地址也是存放在ra寄存器中的

2、没有堆栈直接操作的指令,也就是就没有push 和pop 指令

3、所有指令都是32位编码,也就是说所有的数据和指令都是4字节对齐

由于MIPS固定指令长度,造成其编译后的二进制文件和内存占用空间比x86的要大

MIPS指令集使用uclibc C标准库,x86使用libc的C标准库

MIPS的指令用法和两者的差异可以参考这里

阅读全文 »

解决git clone下载慢或失败问题

发表于 2020-06-21

网上的修改本机host文件方法亲测不管用

通过码去云下载是真的香 https://gitee.com/

注册并登录后创建仓库

拉到下面导入已有你仓库

将github链接导入并创建就完成了

之后进入gitee中的库下载就行了,速度快到飞起

第五**空间pwn部分wp

发表于 2020-06-21

发现太久没有写博客了,就放一下刚打完的被喷得怪可怜的第5**空间的一点wp吧。

立雪

edit 函数没有对size进行检测,所以可以任意长度的堆溢出

​

而且程序存在后门函数,unlink到0x602088修改为0xffff即可(其实最快速的做法是unsortedbin attack到0x602088)

阅读全文 »
12…5
R4bb1t

R4bb1t

50 日志
10 分类
6 标签
RSS
友链
  • Xi4or0uji
  • V1ctor
  • 23r3f
  • zs0zrc
  • ditto
  • ch4r1l3
  • 知世
© 2021 R4bb1t
由 Hexo 强力驱动
|
主题 — NexT.Gemini v5.1.4
0%