roderick

读万卷书,行万里路!

纸上得来终觉浅,绝知此事要躬行!

seccon-2020-kstack

总结这题有点迷,按照我的理解,开启了kpti并不会影响将内核栈迁移到用户态空间并调用内核态函数,实际上我栈迁移之后调用函数会莫名其妙的挂死。

BUUCTF-pwn合集

简介buuctf-pwn-wp合集 shanghai2019_slient_note checksec 远程为libc-2.27.so 利用思路固定分配0x208和0x28,且使用calloc,也就是不会从t

BUUCTF-inndy_rsbo

总结虽然对输入的rop中的字节是随机交换,但是由于循环的边界在栈上,所以可以把前面一大段都写为0,这样某一次交换就会把循环边界置为0,跳出循

buuctf-pwnable_blukat

总结直接把远程的源码和password下载下来然后修改一下逻辑即可获得flag。 EXP 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29

buuctf-pwnable_fsb

总结直接用scp从远程主机下载二进制文件分析,你会发现远程主机执行的实际是x64文件而不是x86,并且开启了PIE防护。 checksec 可以直接下载远程的

shadow_mna_2016

总结自定义了一套函数调用流程,手动模拟了push/pop/call/ret等。分析清楚每个指令的实现后,即可利用栈上的变量进行利用。 checksec 远程环

kernel-pwn-babydriver

一道经典的内核入门题目解析。 基础知识 kernel一图胜千言: 需要注意的是,linux内核是单内核。因此,内核基本拥有对系统绝对的控制权。而微

ciscn_2019_en_1

总结利用了一个组合拳gadget: 1 2 3 4 5 6 7 .text:00010620 MOV R2, R9 .text:00010624 MOV R1, R8 .text:00010628 MOV R0, R7 .text:0001062C BLX R3 .text:00010630 CMP R4, R6 .text:00010634 BNE loc_10618 .text:00010638 POP {R4-R10,PC} 这一段gadget在init函数,其实和r

ycb_2020_easy_heap

总结高版本的off by null不能像之前那样随便地后向合并了,因为对size域的检查更加严格。因此,在高版本的off by null,利用姿势小结如

pwnable_applestore

总结看上去花里胡哨的,其实就是对栈空间的一个利用。 checksec libc-2.23.so。 漏洞点漏洞在checkout上,可以将栈上的Apple添加到链
0%