X1ng

PWN for fun

PWN-ORW总结

在无法执行命令的沙箱环境下拿到flag

平时比赛看到orw的题基本丢给队友,学习总结一下相关的知识 题目附件 介绍 CTF中这类PWN题目通常通过禁用execve系统调用添加沙箱,不能直接执行命令getshell,这时候需要通过调用open、read、write这样的函数打开flag,存到内存中,再输出 将三个函数开头字母作为简称,也就是orw 可以通过seccomp-tools来判断是否添加沙箱,以及查看沙箱的规则 ...

浙江2021省赛

初赛pwn的wp

开始比赛前发现IDA打不开了。。。。难度不大,但是学到了新知识,,感谢 @Alter赛后科普house of strom 太菜了太菜了 sxmz 逻辑很简单,输入shellcode,通过特定检测后直接执行shellcode,输入的字节为\n会填充对应位置内存为\x00,检测字符的时候遇到\x00结束检查,让shellocde的首字节为\x00绕过检查,首字节为\x00的汇编语句大多是形...

ASUS栈溢出漏洞分析

CVE-2021-40556

本文从挖掘漏洞的角度分析该漏洞,仅供学习用途,有不足之处敬请指出 or2 文章首发ChaMd5安全团队公众号 相关信息 ASUS 2021/10/07更新公告 本文分析的漏洞为其中的栈溢出漏洞,另外经过华硕官方确认还有多个型号路由器存在该漏洞并均已修复 固件下载 华硕提供了非常全面的服务支持,可以在官网下载所有版本的固件 下载漏洞修复前的固件 FW_RT_AX56U_30...

CVE-2021-29083漏洞复现

复现群晖DSM某服务漏洞

搜集相关信息 搜了一大圈只能找到同一句漏洞描述,随便摘了一个 https://www.cvedetails.com/cve/CVE-2021-29083/ Improper neutralization of special elements used in an OS command in SYNO.Core.Network.PPPoE in Synology DiskSt...

RCTF2021

pwn wp

MISC佬鲨疯了,,虽然最后一晚熬夜肝了一题保住了前十,但太菜了最后还是没做出来Pokemon 比赛时做出来的题目的wp…… sharing 在实现的对象复制时使用浅拷贝,并且使用了引用计数 在申请的时候如果对象数组中目标位置已经有对象了则会先申请对象再释放原来的对象 hint分支中可以将任意地址中的数据减2,但是需要hint为长度16的字符串并且所有字符16进制相加...

学习C++PWN

C++ 逆向分析学习笔记

重新学了一下c++在内存中的实现情况,但是并没有结合题目 以32位 VC++ 6.0 为例,64位或者gcc应该差不多 类与结构体的访问控制 在编写源程序的时候类与结构体的最显著的区别在于类默认的访问控制为private,而结构体则可以看作默认public,类又可以设置成员变量访问控制权限为public,private,protected 但是所有访问控制的检查都是在编译期进行的,也...

强网杯2021初赛

pwn wp

记得去年做2个题,今年被学长带着也就做4个题,,所以菜的人学一年就只能多做俩题而已( 跟学长一起打比赛的体验比自己闷头做的体验好太多 baby_diary 2.29版本以上的off-by-null,边学边做。。 保姆级教程: glibc2.29下的off-by-null 通过伪造堆块绕过向下合并的检查、通过large_bin的fd_nextsize和bk_next...

CVE-2021-27647漏洞复现

复现群晖DSM某服务漏洞

通过漏洞公告以及diff补丁前后的固件来寻找漏洞触发点,但是由于需要结合其他漏洞完成利用,最后并没有复现出完整的利用链 感谢 @sakura 和 @cq674350529 师傅的帮助 搜集相关信息 Zero Day Initiative: This vulnerability allows network-adjacent attackers t...

ciscn 初赛 2021

write up

只做了三个pwn,沙箱不会全丢给队友了,,最后的satool还来不及交 太菜了呜呜 附件pwn 附件SATool pwny 可以从random读取字符覆盖bss上可控偏移的变量,覆盖fd后从无效的fd读取数据到保存fd的内存,会把fd覆盖为0,之后任意地址读写,泄露地址打exit_hook #!/usr/bin/python from pwn import * import s...

CSTC2021

write up

菜鸡还是喜欢简单题呜呜呜 附件 PWN bank 用\x00爆破随机数生成的密码绕过strcmp,格式化字符串漏洞输出内存中的flag exp: #!/usr/bin/python from pwn import * import sys context.log_level = 'debug' context.arch='amd64' local=0 binary_name...