二进制安全 #exploit #format string #Pwn

格式化字符串任意地址写入栈上数据

利用限制存在格式化字符串漏洞每个格式化字符串只能实现一次需要等待int长度空格的输出时间利用原理 *可以通过参数指定格式化字符串的宽度，比如： int width = 10; char ch = 'a'; printf("|%*c|", width, ch); // output:|

墨锋 Published on 2022-09-25

二进制安全 #CTF #exp #format string #Pwn #stack #wp

DASCTF X CBCTF 2022九月挑战赛 Cyberprinter WriteUp

分析过程观察栈结构这题的关键（对我来说）就是利用栈上残留的数据。平时练的不多，没有这个习惯，导致泄露和格式化字符串利用都遇上了麻烦。 vuln函数里的栈结构如下： 00:0000│ rsp 0x7fffffffdfe0 ◂— 0x0 ... ↓ 2 skipped 03:0018│

墨锋 Published on 2022-09-24

赛棍日记 #exit #libc #python #符号

Python解析libc未导出符号

背景 glibc里面有很多未导出的符号，比如一些数据变量、内部函数等等。漏洞利用时有时需要对这些符号进行定位，由于这些符号与libc偏移固定，一般的方式是通过gdb算出这些偏移。但这种方式的弊端在于不能可靠地解析不同glibc下的符号偏移，每次切换不同的libc都需要重新定位。本文以exit ho

墨锋 Published on 2022-09-22

赛棍日记 #exit #hook #Pwn

exit hook分析

最近学习exit hook，网上师傅分析exit hook时都一带而过，没有具体分析细节，所以这里通过看源码给大家详细分析一下几种exit hook： __libc_atexit _rtld_global _dl_rtld_lock_recursive _dl_rtld_unlock_recursi

墨锋 Published on 2022-09-22

赛棍日记 #Pwn #unlink #wp

2014 HITCON stkof WriteUp

安全策略先用checksec检查安全策略 Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 运行程序跑

墨锋 Published on 2022-08-20

赛棍日记 #fastbin #Pwn #unlink #wp

2016 ZCTF note2 WriteUp

安全措施 [*] '/mnt/e/Security/pwn/heap/unlink/examples/zctf2016_note2/note2' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canar

墨锋 Published on 2022-08-20

赛棍日记 #GDB #Pwn #pwntools #wsl #wt

WSL Pwntools通过wt打开gdb

前言 Win10 WSL2 用 pwntools 进行gdb.attach()时默认打开竟然是 cmd，不仅界面丑不说，还有很多字符显示有问题...... 我记得用win11的时候一直是用 Windows Terminal 打开的啊..... 然而，网上逛了一圈，好像没找到这个教程？什么！我又看了眼

墨锋 Published on 2022-08-19

赛棍日记 #free #heap #Pwn #unlink #任意地址写 #堆利用