X1ng

PWN for fun

DamCTF and Midnight Sun CTF Qualifiers

一些PWN题目

就看了几道pwn题,但佬们速度太快全秒了,赛后复现一波 文章首发于看雪论坛 DamCTF 2023 Quals golden-banana By BobbySinclusto The Quest for the Golden Banana is a text-based adventure game that combines humor, action, and mys...

Posted by X1ng on April 10, 2023

Hack-A-Sat 4 Qualifiers

一些PWN题目

只解出来一道题,复现了一下幽灵攻击 文章首发于看雪论坛 Magic Space Bussin 题目描述 I hate embedded SWEs. Always talking about how you should preallocate all the memory you need in the data section if you’re using a bus....

Posted by X1ng on April 6, 2023

HWS冬令营线上选拔赛2022

wp

很多原题,拿到了RW的一血确定晋级了就摸了 PWN 送分题 原题,第二届华为武汉研究所11·9网络安全大赛PWN Writeup exp都不用改就能跑 peach 跟祥云杯2021的lemon如出一辙,题目文件固定了附件中的libc-2.26无法修改 开始先读取flag到栈上,再将一个栈地址放到bss上,并给了栈地址低2字节 add函数中先将name堆块放到全局数组上...

Posted by X1ng on January 25, 2022

RealWorld CTF 2022

wp

跟北邮的师傅们一起打RW,大佬们是真滴猛or2 VM因为神奇的原因打不通远程,体验赛0输出混了个第二 正式赛 SVME Score: 67 Clone-and-Pwn, Virtual Machine, difficulty:baby Professor Terence Parr has taught us how to build a virtual m...

Posted by X1ng on January 24, 2022

美团ctf2021个人赛

wp

pwn手快乐赛了属于是,两个pwn+一个misc冲到第二 PWN welldone 格式化字符串漏洞,全局变量不为2333则会调用exit直接退出 用格式化字符串将exit的got表低2字节改为main函数可以循环利用格式化字符串 修改exit中会调用的rtld_lock_default_lock_recursive指针为one_gadget,将exit的got表改回退出 ...

Posted by X1ng on December 20, 2021

美团CTF2021初赛

pwn wp

完成一次pwn ak babyrop main函数能通过泄露栈上残留数据泄露canary,进入vuln函数可以溢出8字节,溢出后返回vuln首地址则栈帧会往高地址移8字节,多次返回直到与main函数中输入的数据接壤,形成rop链泄露libc地址,然后返回main函数故技重施执行system from pwn import * import time context(log_leve...

Posted by X1ng on December 11, 2021

qemu pwn

学习qemu pwn题目的调试和漏洞利用方法

拖了很久的虚拟化学习,主要是通过例题了解在ctf题目中的调试和漏洞利用 qemu原理 每个qemu虚拟机都是宿主机上的一个进程,在进程中用mmap分配出大小为0x40000000字节的宿主机的虚拟内存来作为虚拟机的物理内存 PCI设备有其配置空间来保存设备信息,头部最开始的数据为Device id和Vendor id 设...

Posted by X1ng on November 26, 2021

kernel pwn入门之路(三)

开启slub副本|kaslr探索

初步认识slub分配器、学习一般kaslr题目的调试和利用思路以及绕过一些奇怪的保护 slub slub相关的内容: linux 内核 内存管理 slub算法 (一) 原理_卢坤的专栏-CSDN博客 链接中所说的空闲对象的next指针是保存在对象的一定偏移处的,该偏移可以通过config定义(如ubuntu或centos中该偏移就不为0),在本题的内核文件中偏移为0 SUCT...

Posted by X1ng on November 23, 2021

L3HCTF2021

pwn wp

打满48小时,肝痛,无手速和一调试就懵逼党第一次抢到了三血,最后的小失误错失pwn ak slow-spn 程序从flag.txt中读取6个字符的key和4个字符的plaintext,然后8次通过s盒或p盒的变换后放进模拟的cache中 cache的逻辑是可以多次模拟访问s盒中的地址,如果cache命中了该地址则使用最近最久未使用算法计数,未命中则sleep(1)模拟读取内存的...

Posted by X1ng on November 17, 2021

两种Large bin attack总结

pig and banana

具体的原理参考资料中大师傅的文章已经写的很清楚了,没有必要抄一遍,所以只记录一下利用的方法 本文测试环境为libc-2.31 简介 house of pig和house of banana都是通过large_bin attack(house of pig还需要用到Tcache stashing unlink plus)来向一些结构体指针写入堆地址,从而达到劫持结构体中的指针的目的 T...

Posted by X1ng on October 31, 2021

FEATURED TAGS
比赛 wp 学习笔记 pwn lab csapp ucore iot 漏洞复现 RealWorld Linux kernel XCTF 漏洞挖掘
ABOUT ME

摸了摸了

✉️ x1n3@foxmail.com

FRIENDS