ha1vk's blog

0%

X-nuca_2018_revenge(控制程序流程的新姿势+多字节的xchg指令会清零寄存器高位)

发表于 2020-07-26 分类于 CTF

首先，检查一下程序的保护机制

然后，我们用IDA分析一下，bss上存在无限溢出

阅读全文 »

n1ctf2018_null（通过劫持线程arena达到任意地址分配）

发表于 2020-07-26 分类于 CTF

首先，检查一下程序的保护机制

然后，我们用IDA分析一下，主函数启动了一个线程

阅读全文 »

通过劫持ld中的linkmap来控制程序流

发表于 2020-07-26 分类于 CTF

在glibc中，当一个程序调用glibc中的exit函数时，exit函数内部会调用_dl_fini，而_dl_fini函数会调用程序中的fini_array段的函数指针去执行。查看glibc源码如下

void
internal_function
_dl_fini (void)
{
..........
              /* First see whether an array is given.  */
              if (l->l_info[DT_FINI_ARRAY] != NULL)
            {
              ElfW(Addr) *array =
                (ElfW(Addr) *) (l->l_addr
                        + l->l_info[DT_FINI_ARRAY]->d_un.d_ptr);
              unsigned int i = (l->l_info[DT_FINI_ARRAYSZ]->d_un.d_val
                        / sizeof (ElfW(Addr)));
              while (i-- > 0)
                ((fini_t) array[i]) ();
            }
............
}

我们注意到，有一个函数指针数组的遍历调用执行。我们来看看ld.so中相应的汇编。

阅读全文 »

zer0pts_2020_babybof（一种在FULL RELRO情况下无泄漏的getshell方法）

发表于 2020-07-26 分类于 CTF

首先，检查一下程序的保护机制

然后，我们在IDA里分析一下,是一个极其简单的程序，存在栈溢出

阅读全文 »

线程PWN之gkctf2020 GirlFriendSimulator

发表于 2020-07-25 分类于 CTF

首先，检查一下程序的保护机制

然后我们用IDA分析一下，一个多线程程序

阅读全文 »

ciscn_2019_en_5(last_reminder在单纯的堆null off by one里的妙用+shrink unsorted bin)

发表于 2020-07-25 分类于 CTF

首先，检查一下程序的保护机制

然后，我们在IDA里分析一下，在add函数里，存在一个null off by one漏洞。

阅读全文 »

ciscn_2019_es_3(top chunk形成unsorted bin+expand unsorted bin)

发表于 2020-07-25 分类于 CTF

首先，检查一下程序的保护机制

然后，我们用IDA分析一下，在edit功能里，使用strlen来更新size，因此下一次修改，可以溢出到下一个chunk的size处。

阅读全文 »

twctf_2018_bbq

发表于 2020-07-25 分类于 CTF

首先，检查一下程序的保护机制

然后我们用IDA分析一下

阅读全文 »

ciscn_final_7(黑盒测试)

发表于 2020-07-25 分类于 CTF

首先检查一下程序的保护机制

然后，我们用IDA分析一下

阅读全文 »

hack_lu_2018_heap_heaven

发表于 2020-07-25 分类于 CTF

首先，检查一下程序的保护机制

然后我们用IDA分析一下，这个free没有检查范围，因此可以任意地址free。

阅读全文 »