Ocarina of Time

软件系统安全赛区域现场赛其中一道pwn题解
软件系统安全赛区域现场赛其中一道pwn题解
Created|Updated|CTF-Pwn|off by one
0x00 前言人生中第一次去湘潭, 虽然这个比赛很…另一题是内核, 看不懂… 0x01 题解robo_admin 机器人管理系统。(连接代理后访问 192.0.100.2 9999,请提交 dart{}中的内容, 附件包含题目附件和 fix. Tar 模板,请在 Fix 环节上传 fix. Tar 进行修复,注意压缩包是 tar 格式,并且 fix. Tar 不要带目录压缩。公告输入会经过解码,评测也会用编码后的格式符进行测试。请同时检查 set_notice () 与 show_status () 两处逻辑;若拦截了解码后的危险字符,错误输出中应包含 “[X] decoded input contains illegal chars”。) 沙箱 & patch的小坑line CODE JT JF K ================================= 0000: 0x20 0x00 0x00 0x00000004 A = arch 0001: 0x15 0x00 0x07 0xc000003e if (A != ARCH_X86_64) goto...
浅尝AFL++
浅尝AFL++
Created|Updated|fuzzing|cve
入门一下fuzzing简单安装配置GitHub - AFLplusplus/AFLplusplus: The fuzzer afl++ is afl with community patches, qemu 5.1 upgrade, collision-free coverage, enhanced laf-intel & redqueen, AFLfast++ power schedules, MOpt mutators, unicorn_mode, and a lot more! 这里先不用源码编译的方式, 直接pull 一个镜像来尝尝鲜 docker pull aflplusplus/aflplusplus:latest 创建demo创建一个目录 mkdir -p ~/afl-demo/incd ~/afl-demo 准备一个.c文件 #include <stdio.h>#include <stdlib.h>#include <string.h>int main(int argc, char *argv[])...
CVE-2017-17215 复现
CVE-2017-17215 复现
Created|Updated|CVE|iot命令拼接
华为 HG532 路由器 RCE 漏洞 信息收集上一次复现的时候就直奔漏洞点去, 这次决定模拟一下从零开始的过程老样子找到固件并且 binwalk 一下, 本来是想看 /etc/init.d 看看这个路由器启动的时候做了什么, 里面只有一个 rcS #!/bin/sh/bin/echo "rcs"PATH=/sbin:/bin:/usr/bin:/usr/sbinexport PATHecho "RCS DONE" 设定了一下环境变量, 看不出来什么, 但这时候注意到了有个 upnp 文件夹, ai 一下发现是一套网络协议的集合, 主打一个零配置, 就像 USB 一样.当一个支持 UPnP 的设备连上局域网后,它可以自动发现网络上的其他设备,并告诉大家:“我来了,我能提供这些服务” UPnP 可以分成这些阶段设备刚连上 Wi-Fi 或插上网线,就会立刻向局域网内进行组播,通常使用的是 UDP 的 1900 端口。 设备大喊:“大家好,我是一个华为路由器!我的控制接口在 http://192.168.1.1:37215/ctrl...
CVE-2025-10779 复现
CVE-2025-10779 复现
Created|Updated|CVE|stack overflowiot
简单介绍CVE-2025-10779这个洞来自D-Link的DCS-935L小型摄像头, 是个比较简单的栈溢出漏洞, 利用起来不是很难, 但在环境搭建这里花了较多时间 资产探测信息搜集Fofa https://fofa.info/ 资产探测家用摄像头某些服务会映射到公网去, 用这个网站可以搜到, 但考虑到家用摄像头的 ip 会经常变动, 所以在搜索的时候大致过滤一下, 只看近一个月的 app="D_Link-DCS-935L" && after="2026-02-28" 搜出来的数量大概只有 1/10 能有二进制漏洞的利用, 但 web 会比较多, 大概 1/2这个环节只有实际自己挖的时候会用到, 复现的时候可以不管哈哈 固件获取大概是做逆向分析, 但首先要拿到它的固件. 通常是直接上网搜 型号 + firmware 或者直接这个 https://files.dlink.com.au/ 下载到这个 bin 文件之后用 binwalk 提取 (这个 binwalk...
碎碎念 & 自己的年终总结
碎碎念 & 自己的年终总结
Created|Updated|碎碎念
...
强网杯 2025
强网杯 2025
Created|Updated|CTF-Pwn|orwstdoutfmtstr(.bss)magic gadget
0x00 前言一般路人,划水这一块 0x01 题解flag-market通过对oflag的输入能覆盖掉上面的You are so parsimonious,这样就有bss段上的格式化字符串了。接着利用这个把exit.got该成main,就制造出了无限次格式化字符串漏洞。原本程序的逻辑是碰到{之后结束循环,然后通过 memset 来清除残留的 flag ,我们直接把 memset.got 写成 puts.plt即可 from pwn import *from ctypes import *context(arch='amd64', log_level = 'debug',os = 'linux')file='/mnt/c/Users/Z2023/Desktop/flag_market/bin/chall'elf=ELF(file)context.binary = elfchoice = 0x001if choice: port= qwb = '' p...
Pwn College Kernel Security Level 1.0 ~ Level ?
Pwn College Kernel Security Level 1.0 ~ Level ?
Created|Updated|CTF-Pwn|kernel
0xff 前言好忙好忙,本来想做完整个模块再放上来的,但是短期内都没空做了…所以只好暂时丢上来水一下 0x00 事前准备可以参考 Pwn College Format String Exploits Level 1.0 ~ Level 9.1攻略 事前准备不过 exp 的形式不太一样了,这次是写 c 语言,应该也就用不到 python 了,所以只需要把 .ko dump 下来用 ida 逆向就行,依旧放个 scp 命令在这 scp -i ~/.ssh/key hacker@dojo.pwn.college:/challenge/babykernel_level{1.0}.ko . 因为是 kernel,所以在打题的时候还需要挂载内核模块 In order to get started on kernel challenges, you will need to run the challenges inside a virtual machine. You can start this VM done by running a command while...
V1t CTF 2025
V1t CTF 2025
Created|Updated|CTF-Pwn|Stack Pivotingret2textfmtstrret2libcsropcanary
0x00 前言n1 n1 打不过,被叫来打这个很多misc题的V1t CTF 2025了,挺简单的,又水一篇 主要是最近操作系统课在讲这个fork,遇到了类似的题,稍微记录一下。 0x01 题解Waddlerret2text from pwn import *from ctypes import *context(arch='amd64', log_level = 'debug',os = 'linux')file='./chall'elf=ELF(file)libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')choice = 0x001if choice: port= 30210 target = 'chall.v1t.site' p = remote(target,port)else: p = process(file)s = lambda data ...
强网拟态 2025
强网拟态 2025
Created|Updated|CTF-Pwn|orwStack Pivotingmagic gadget
0x00 前言SU天下第一!又蹭到了,贡献了一点点车联网,但是手慢+沙比了卡了挺久 0x01 题解Pwn - babystackint pwn(){ char s[24]; // [rsp+0h] [rbp-120h] BYREF char buf_[248]; // [rsp+18h] [rbp-108h] BYREF __int64 n180097847; // [rsp+110h] [rbp-10h] memset(s, 0, 0x110u); n180097847 = 180097847; printf("Enter your flag1:"); read(0, s, 0x18u); printf("Enter your flag2:"); read(0, buf_, 0x100u); printf("Nice!, %s, your flag2 is %s.\n", s, buf_); if ( n180097847 != 20150972 ) return...
LitCTF 2024 heap 通关记录
LitCTF 2024 heap 通关记录
Created|Updated|CTF-Pwn|fast bin attackuafTcache attackHouse of apple
0x00 前言堆还是太弱了,所以决定补补,稍微了解一下不同版本的堆手法 0x01 题解同一个漏洞,全是 UAF,但是不同版本,先是一点一点慢慢啃吧 LitCTF 2024_heap-2.232.23 经典的 fast bin attack,还是比较简单的,通过制造 unsorted bin 来泄露 libc_base. 因为 free 函数这里没有对堆块指针置 0,打印堆块的函数中的检测形同虚设可以利用这点对已被释放的堆块进行打印,借此泄露出 libc_base接着依旧 uaf,编辑堆块的功能也因为 free 函数没有对管理堆块的指针置 0 而可以直接对被释放的堆块进行编辑,我们可以通过编辑被释放堆块的 fd 指针来将堆块申请到 __malloc_hook 附近,接着通过编辑堆块的功能来将 __malloc_hook 改写成 one_gadget from pwn import *from ctypes import *from struct import packimport gmpy2context.arch='amd64'context.os =...
avatar
L1nk
Live long and pwn
Articles
36
Tags
59
Categories
5
Follow Me
Categories
Tags
cve kernel ret2libc realloc pie 爆破 iot Block box testing minecraft Stack Pivoting malloc_hook canary magic gadget vm pwn ret2syscall Assembly language stack overflow House of Orange fmtstr File Struct Exploits 调节栈帧 ret2gets ropchain Rust less命令逃逸 堆溢出 命令拼接 ret2text Tmux GOT劫持 pie ret2csu heap Tcache attack orw 伪随机数 strcmp绕过 fmtstr(.bss) Srop realloc_hook python pwn
Archives
Website Info
Article Count :
36
Unique Visitors :
Page Views :
Last Update :