nuoye's blog

misc签到linux中运行下命令就出来flag了。 PWNcpu_emulator简单的vm题，stack可以越界写 首先free掉一个0x20大小的chunk，然后利用stack的越界写修改其fd到bss段上，并且将它的size改掉，避免重复进入该chunk。 接着申请到bss段上把buf置0， ...

easyKooc简单的mips题目，静态地址，存在UAF漏洞，并且有RWX段，可执行shellcode。 利用UAF将shellcode写到可执行段上，然后修改got表跳过去执行即可。 123456789101112131415161718192021222324252627282930313233 ...

PWNnoteplus漏洞点在于edit的时候如果size是小于8的话循环退出的判断永远为真，因此可以进行堆溢出。 首先填满tcache，利用unsortbin进行leak操作，然后用上面的堆溢出漏洞修改一个free状态的fd到__free_hook，修改其为onegadget地址，即可getshe ...

ParseCJIT类型题目。 有三个函数：read(读取浮点数)、puts（输出字符）、print（输出浮点数） 大体三种类型：浮点数/字符（存放在bss上）、数组（存放在堆中，只能放浮点数）、字符串（存放在堆中，每次重新赋值时若长度不同则会free后再malloc）。 字符串可以复制，并且堆上指针 ...

PWNpwn_printf首先输入0x10个size(0x20)，即可实现栈溢出。然后就是简单的rop和getshell，脚本如下： 12345678910111213141516from pwn import *p = process("./pwn_printf")libc = ELF("./pw ...

PWNmmutag最开始会给出栈地址，存在uaf漏洞，并且这里存在栈漏洞： 可以泄漏出canary。 利用uaf申请到栈上，即可劫持返回地址进行rop操作，leak出libc的地址即可用system进行getshell了。 1234567891011121314151617181920212223 ...

PWNgun实现了单向的操作，buy是获取堆块，load是将堆块填入，shoot是输出堆块的信息，并进行free。 首先是leak的，直接unsortbin即可leak出libc地址。 接着由于shoot的时候没有对对链表清空，所以可以先申请9个fastbin范围的堆块，倒序load再shoot，接 ...

PWNlogger第一次输入Warning时栈上有残留信息，以此leak出libc地址。 Warning_once会对0x67f7b0+idx处地址写入一个值（该值为输入data的长度），并且idx未检查，可以输入负数溢出。 通过劫持stderr到bss上，布置好函数表，退出时会用到stderr，用 ...

windows pwn环境搭建下载镜像并搭建虚拟机网站 这里下载win7 professional with sp1版本（即cn_windows_7_professional_with_sp1_vl_build_x64_dvd_u_677816.iso镜像）。 接着新建虚拟机即可。 安装python ...

前言这是不当人的一场比赛。。恰逢考试，还要一个人兼pwn和web，难受。。。。还好web不算太难，pwn的解题率就不尽人意了。。 webeasyconhttp://183.129.189.60:10035/index.php，提示eval cmd，直接用蚁剑连接，密码cmd。在网站目录下找到bbbb ...