喵喵喵喵

前置知识之前有过相关内容 Use After Free 模式化fastbins类型典型流程 找到存在Use After Free漏洞的指针x free(x)，但没有将x设置为NULL 如果有多个指针，free(x)之后没有将所有的指针设置为NULL x最好是函数指针 或者后面的y是一个函数指针 free(x) # 但x仍然指向堆中的一个chunk 发送会产生free(x)的输入选项 ... 続きを読む…

回连后禁用SIGALRM在具有alarm(x)的二进制文件上，进行exploit 假设已经反弹了shell 能够得到远程shell，但几秒后就会断开连接 如果能够快速输入’bash -i’的话当然很好 没有确认细节，通过bash禁用SIGALRM(使连接继续保持) 设置EAX的值通过ROP能够修改EAX/RAX为任意值的情况 直接调用system call 通过一些gadget结合EAX... 続きを読む…

本地权限提升下的ASLR 这类问题在getshell后有方法可以禁用ASLR http://inaz2.hatenablog.com/entry/2014/07/23/001318 ulimit -s unlimited (仅限32位进程) 这种方式可以启动一个禁用ASLR的bash会话 setarch uname -m -R /bin/bash(32位，64位都可以) 但是对于setu... 続きを読む…

基本信息Category: Pwnable Points: 400 Solves: TODO Description: Binary : http://binary.grayhash.com/6c5c199232567d00314a684d0123b11c/steak Server : 54.64.101.236 Port : TCP 8888 OS : Ubuntu 14.04.2 L... 続きを読む…

Shared Library Injection关注环境变量LD_PRELOAD LD_PRELOAD这个对于CTF选手来说应该很常见 例如这样使用 hook libc中的函数(例如printf)，将其替换成自定义函数 $ export LD_PRELOAD=./mylib.so $ ./a.out mylib.so中重写了printf()函数，a.out调用printf时，实际调用的是... 続きを読む…

简介 很常见的流密码 现实世界被认为是弱加密方式 但事实上，并没发现任何明确的漏洞 Bit-flip-attack这种，原理上没什么用的攻击 针对与RC4结合使用的协议特征的攻击 除此之外，”概率性确定密钥比特位”的攻击 https://en.wikipedia.org/wiki/RC4 需要很多密文进行分析 如果密文量不足，RC4仍然不切实际(短时间内)不可解读 常规CT... 続きを読む…

argv[0] leak - Stack Canary实现Stack Canary gcc编译后，stack上存在一个canary 进入函数时，canary被随机赋值 退出函数时(return前)，会检查canary是否被修改 ... 続きを読む…

stack细节想要知道详细信息，可以写一段什么都不做的代码，例如这样： 1234$ cat test.c void main(void){}$ gcc test.c -o test 编译，gdb运行，查看内存状态 ... 続きを読む…

题目信息 nc pwn2.jarvisoj.com 9895 fm.eaef2247796c11db798a579396482399 32位elf，没开PIE，其他基本都开了： ... 続きを読む…

题目信息 mmap和mprotect练习，假设system和execve函数被禁用，请尝试使用mmap和mprotect完成本题。 nc pwn2.jarvisoj.com 9884 附件同level3_x64 那么基础信息直接使用之前的 64位elf，只开了NX，并且给出了libc文件 ... 続きを読む…