Chris's Blog

2019西湖论剑writeup

0ctf2018heapstorm2

pwn1-story 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 #/usr/bin/env python # -*- coding: UTF-8 -*- ##简单栈溢出，fsb from...

Posted by Chris on April 9, 2019

NCTF2018之homura

不知名的Unsorted_bin利用

这道题有点难度，比赛结束时也没人提交flag，后来有时间自己研究了一下，有了新的思路 CheckSec 1 2 3 4 5 6 7 [*] '/home/chris/homura' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: ...

Posted by Chris on March 13, 2019

pwnable.tw之D3-a5lr

花式ROP

程序分析 1 2 3 4 5 6 7 [*] '/home/giantbranch/D3-a5lr' Arch: amd64-64-little RELRO: Full RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) ...

Posted by Chris on January 4, 2019

pwnable.tw之un3xp10itabl3

aslr syscall 利用

程序代码 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 0x400544 <main>: push rbp 0x400545 <main+1>: mov rbp,rsp => 0x400548 <main+4>: sub rsp,0x10 0x40054c <main+8>: ...

Posted by Chris on December 29, 2018

铁三2018全国总决赛之myhouse

House of force+ 任意地址写1null

checksec 1 2 3 4 5 6 7 [*] '/home/chris/myhouse' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) ma...

Posted by Chris on December 13, 2018

铁三2018全国总决赛之bookstore

fastbin attack + 整数溢出

checksec 1 2 3 4 5 6 7 8 chris@ubuntu:~$ checksec myhouse [*] '/home/chris/myhouse' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled ...

Posted by Chris on December 11, 2018

铁三2018全国总决赛之littlenote

double free +堆块伪造

铁三这次全国总决赛的个人赛给了三道Pwn题，littlenote 算得上里面相对简单的一道下面看程序ida代码 checksec 1 2 3 4 5 6 7 8 chris@ubuntu:~/Pwn$ checksec littlenote [*] '/home/chris/Pwn/littlenote' Arch: amd64-64-little RELRO...

Posted by Chris on December 10, 2018

南邮NCTF2018之smallbug2

X64 FmtStr

最近刷了一下南邮的CTF比赛，1000分的动态积分，pwn了两道800分的，有一道是关于vsyscall的，还有一道就是关于64位格式化字符串利用的，说它简单其实并不简单…毕竟最后只有4人提交了flag… 关于fmtstr的骚操作有很多，比如泄露，写got表，写ret，写.fini_array，栈迁移到堆等 32的fmtstr任意地址写很容易实现，因为地址中不含”\x00”,pr...

Posted by Chris on November 26, 2018

2018湖湘杯Reverse之Replace

简单加密

程序分析用exeinfope查壳，加了UPX 载入od，发现程序基地址被随机化，开了aslr 用aslr_disabler干掉aslr方便调试，再载入程序看到pushad，我直接用esp定律找OEP了，找到OEP后用ollyDump脱壳，本来是想着用ImportREC工具重建IAT的，结果发现ollyDump的重建输入表功能也挺好用的，到这里就脱壳成功。用IDA的f5...

Posted by Chris on November 19, 2018

House of orange🍊

无free的堆利用

为了学习”传说中”的House of orange🍊，我去把glibc源码的malloc.c genops.c关于内存分配和I/O Operations的源码研究了一下，梳理了整个流程，我把研究的一些细节的东西写下来，供分享。 House of orange 概述 House of Orange 的利用比较特殊，首先需要目标漏洞是堆上的漏洞但是特殊之处在于题目中不存在 free ...

Posted by Chris on November 6, 2018