X1ng

PWN for fun

XCTF pwn复现

HarmonyOS和HMS专场

发现队友全都咕咕咕了,,然后我也咕咕咕了(就算不摸鱼也做不出来呀 前两场被打的很自闭,第三场题目甚至下载了都没有解压,赛后复现一下第三场的pwn pwn1 附件 例行检查 arm文件,只开了NX保护,但是没有ld很懵 https://www.cnblogs.com/zq10/p/13207370.html: sudo apt-get install libc6-armhf-...

kernel pwn入门之路(二)

例题复现

只会做几个烂大街的堆题目,,比赛堆题签个到走人 这好吗?这不好,,所以赶紧学学Linux kernel module pwn,记个笔记 非常感谢PKFXXXX学长的帮助 or2 例题 XMAX 2019 level1 题目只给了4个文件 ida打开baby.ko 有三个函数,其中init_module和cleanup_module用来注册和移除驱动,可以看到注册的驱动叫...

kernel pwn入门之路(一)

基础知识

只会做几个烂大街的堆题目,,比赛堆题签个到走人 这好吗?这不好,,所以赶紧学学Linux kernel module pwn,记个笔记 环境搭建 根据钞sir师傅的博客搭建环境 基础知识 kernel的作用: kernel也是一个程序,用来管理软件发出的数据 I/O 要求,将这些要求转义为指令,交给 CPU 和计算机中的其他组件处理 控制并与硬件进行交互 提供 app...

学习C++PWN

C++ PWN 学习笔记

只会做几个烂大街的堆题目,,比赛堆题签个到走人 这好吗?这不好,,所以赶紧学学C++ pwn,记个笔记 本来想学学在ida里神奇的c++程序要怎么逆,但是查找到的资料大多数都是对虚函数进行利用,就学一学吧 虚函数的实现 由于上C++课时划水太多、平时学习摸鱼太多,先学习一下虚函数的知识 C++拥有面向对象的特性,class则是C++在面向对象这个方面与C语言最大的不同 而clas...

学习VM PWN

VM PWN学习笔记

只会做几个烂大街的堆题目,,比赛堆题签个到走人 这好吗?这不好,,所以赶紧学学VMpwn,记个笔记 前置 VMpwn常见设计 初始化分配模拟寄存器空间 初始化分配模拟stack 初始化分配模拟.data 初始化分配模拟.text VMpwn常见执行流程 输入opcode 分析opcode,并根据opcode进行各种操作 VMpwn常见解决流程 ...

小米路由器-逻辑漏洞学习笔记

小米路由器三个逻辑漏洞学习笔记

B站上看的长亭实验室的hitcon演讲视频,记个笔记 视频分享的是对小米AX3600路由器的漏洞挖掘过程 攻击面分析 由于过于贫穷,又没有淘到N手路由器,只能贴一些ppt里的图 用nmap扫描到的开放端口 web server开放了 80/8080/8098/8999 四个端口,其所有web功能都是通过lua来实现的,而小米的lua解析器是经过加密的 获取固件 官网提供下载...

学习关于exit的利用方法

学习笔记

什么?我直接exit退出你都要攻击我? 改写initial或__exit_funcs 实验环境glibc-2.29 原理 在调用exit的过程中,进入__run_exit_handlers函数有这样一段汇编代码 对应我找到的glibc-2.29源码中 glibc/stdlib/exit.c line70 while (cur->idx > 0) ...

(安全客)强网杯2020决赛-cisco-RV110W-漏洞复现

一个路由器web服务漏洞复现

看到了clang裁缝店师傅非常详细的复现wp,所以动手真机调试一下路由器,记个笔记 在11月30号已经写好了,,然而安全客一直到今天才发or2 原文链接 实验环境Ubuntu 18.04 题目 题目描述:挖掘并利用CISCO RV110W-E-CN-K9(固件版本1.2.2.5)中的漏洞,获取路由器的Root Shell,实现DNS劫持。 靶机环境:CISCO RV...

学习拆机调试路由器

记一次拆路由器

上周为了复现强网杯的cisco RV110W 路由器题目买了路由器,在复现的时候直接用telnet弱口令进入路由器调试了,这周来试试焊接调试串口进行调试,顺便水篇笔记,记录一下过程 找到调试串口 在拆开路由器后,在电路板上找到UART串口,UART有4个pin(VCC, GND, RX, TX), 用的TTL电平, 低电平为0(0V)、高电平为1(3.3V或以上) 看标注 有些电路板...

安洵杯2020初赛

write up

记安洵杯线上两个水题 Einsteinjson解析器 name和passwd全错可以泄露libc,改exit_hook三个字节为one_gadget #!/usr/bin/python from pwn import * import sys context.log_level = 'debug' context.arch='amd64' local=0 binary_name=...