首先,检查一下程序的保护机制
然后,我们在IDA里分析一下,是一个极其简单的程序,存在栈溢出
zer0pts_2020_babybof(一种在FULL RELRO情况下无泄漏的getshell方法)
线程PWN之gkctf2020 GirlFriendSimulator
首先,检查一下程序的保护机制
然后我们用IDA分析一下,一个多线程程序
ciscn_2019_en_5(last_reminder在单纯的堆null off by one里的妙用+shrink unsorted bin)
首先,检查一下程序的保护机制
然后,我们在IDA里分析一下,在add函数里,存在一个null off by one漏洞。
ciscn_2019_es_3(top chunk形成unsorted bin+expand unsorted bin)
首先,检查一下程序的保护机制
然后,我们用IDA分析一下,在edit功能里,使用strlen来更新size,因此下一次修改,可以溢出到下一个chunk的size处。
twctf_2018_bbq
首先,检查一下程序的保护机制
然后我们用IDA分析一下
ciscn_final_7(黑盒测试)
首先检查一下程序的保护机制
然后,我们用IDA分析一下
hack_lu_2018_heap_heaven
首先,检查一下程序的保护机制
然后我们用IDA分析一下,这个free没有检查范围,因此可以任意地址free。
jarvisoj_hsys(hash散列表)
首先,检查一下程序的保护机制
然后,我们用IDA分析一下,在show功能里,如果cur_id为0,即admin账户,则v36为定值5,这样使得n变大,memcpy就有可能造成栈溢出,如果能让name长一些,那么info的内容就可以溢出更多一点。
starctf2018_note(栈上的null off by one)
首先,检查一下程序的保护机制
然后,我们用IDA分析一下,在add函数里的scanf(“%256s”,&s)存在null off by one,其结果是将在栈里的rbp值低1字节覆盖为0。
diary_mna_2016
首先,检查一下程序的保护机制
然后检查一下沙箱机制,发现禁用了execve还有open函数,但是没有对sys_number的范围进行判断,因此,可以利用retf切换到32位模式绕过沙箱。