很久没碰过 pwnable 的题目了,这道题其实很久之前也做过了,但是当时没有服务器接反弹的 shell,所以就作罢了,今天新买了一台服务器,不需要在上面跑什么服务,所以把端口全部放开也没关系,就顺便做掉了这道题。题目是一个静态链接的 32 位程序,开启了 NX,没有开 pie,主逻辑非常简短漏洞是一个简单的栈溢出,可以溢出 92 个字节,但是函数退出前会关闭所有的输入输出文件。那么这个时候...
首先看一下启动参数qemu-system-x86_64 \ -m 256M \ -nographic \ -kernel bzImage \ -append 'console=ttyS0 loglevel=3 oops=panic panic=1 kaslr' \ -monitor /dev/null \ -initrd initramfs.c...
比赛和考试周相撞,所以比赛没有好好打,整场只看了这道题,比较尴尬的是最后也没看出来漏洞点。这个漏洞点让我觉得这个位置一定是个漏洞点,但是又触发不了这个洞,最后看了别人的 WP 才知道洞的位置猜对了,但是比赛时不知道为什么没触发出来。程序的流程很简单,稍微看下就能理解,这里不多说了,题目最难的应该就是发现漏洞点了。程序实现了一个哈希表来进行 name 到 content 的映射,用链表来处理碰...
强网杯这次我总共做了 3 道比较简单 pwn 题,还有三道题目学长做了,之后看情况复现一下。剩下 7 道基本上不会,还是需要继续学习baby_diary这道题就是 2.29+ libc 的 unlink 利用,详细的利用方法可以参见 CTF-WIKI 和这篇 WP(无耻地推销一下,两篇都是我写的 ^_^)对于本题而言,主要的漏洞就是读取输入后,sub_1528 会对输入的后一位进行 v2[a...
感觉自己还是太菜了,在比赛期间甚至都没有逆清楚这道题,即使学长给了分析好的 idb 文件也看不懂。当然当时身体不是很好也有一部分原因,但是还是觉得很遗憾。比赛结束后复现了一下,也算是学习一下新的利用方法。参考自house of pig一个新的堆利用详解跳表修复拿到题目,直接 F5 的话可能会出现 __asm{ jmp rax } 这样的指令这是 switch 的跳表结构未被 IDA 识别造成...