喵喵喵喵

sandbox问题分类大体上两类 1.binary的sandbox 绕过system call过滤机制 自定义过滤器，seccomp过滤器，混合过滤器等 基本上结合pwn问题 2.program的sandbox 绕过对函数，变量，语法，字符等的过滤机制 不能使用符号，import之类语句等 python/php很常见，其他的go/JavaScript/ruby之类 大部分是mi... 続きを読む…

PlaidCTF 2015 - pwnable620(420+200) - tp Use After Free + sandbox逃逸 主要三个点 heap thread arena sandbox seccomp thread clone ... 続きを読む…

题目信息 Smashes, try your best to smash!!! nc pwn.jarvisoj.com 9877 https://dn.jarvisoj.com/challengefiles/smashes.44838f6edd4408a53feb2e2bbfe5b229 开了NX和Canary： ... 続きを読む…

根据这个： https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free-zh/ 原理简单的说，Use After Free 就是其字面所表达的意思，当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况 内存块被释放后，其对应的指针被设置为 NULL ， 然后再次使用，自然程序会崩溃。 内存块被释放后... 続きを読む…

题目信息题目链接https://github.com/ctfs/write-ups-2014/tree/master/codegate-preliminary-2014/weirdsnus 准备环境12$ echo HEHE_I_DONT_KNOW_YOU > admin_passwd $ echo N0_MoR3_SMOKING_SNUS > flag 基本信息 ... 続きを読む…

前置知识之前有过相关内容 Use After Free 模式化fastbins类型典型流程 找到存在Use After Free漏洞的指针x free(x)，但没有将x设置为NULL 如果有多个指针，free(x)之后没有将所有的指针设置为NULL x最好是函数指针 或者后面的y是一个函数指针 free(x) # 但x仍然指向堆中的一个chunk 发送会产生free(x)的输入选项 ... 続きを読む…

回连后禁用SIGALRM在具有alarm(x)的二进制文件上，进行exploit 假设已经反弹了shell 能够得到远程shell，但几秒后就会断开连接 如果能够快速输入’bash -i’的话当然很好 没有确认细节，通过bash禁用SIGALRM(使连接继续保持) 设置EAX的值通过ROP能够修改EAX/RAX为任意值的情况 直接调用system call 通过一些gadget结合EAX... 続きを読む…

本地权限提升下的ASLR 这类问题在getshell后有方法可以禁用ASLR http://inaz2.hatenablog.com/entry/2014/07/23/001318 ulimit -s unlimited (仅限32位进程) 这种方式可以启动一个禁用ASLR的bash会话 setarch uname -m -R /bin/bash(32位，64位都可以) 但是对于setu... 続きを読む…

基本信息Category: Pwnable Points: 400 Solves: TODO Description: Binary : http://binary.grayhash.com/6c5c199232567d00314a684d0123b11c/steak Server : 54.64.101.236 Port : TCP 8888 OS : Ubuntu 14.04.2 L... 続きを読む…

Shared Library Injection关注环境变量LD_PRELOAD LD_PRELOAD这个对于CTF选手来说应该很常见 例如这样使用 hook libc中的函数(例如printf)，将其替换成自定义函数 $ export LD_PRELOAD=./mylib.so $ ./a.out mylib.so中重写了printf()函数，a.out调用printf时，实际调用的是... 続きを読む…