zs0zrc

petbook writeup

防护机制： [*] '/home/zs0zrc/pwn/Scoreboard/petbook/petbook' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) FORTIFY: Enabled 开启了NX和Canary还有 FORTIFY FORTIFY是用来检测缓存区溢出的一个机制，感觉好像没什么用，详情参考这篇博客逆出来的use

2018-10-04 hackme.inndy_writeup writeup pwn

echo3 writeup

防护机制： [*] '/home/zs0zrc/pwn/Scoreboard/echo3/echo3' Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x8048000) 这道题是echo 和echo2的升级版，也是一个格式化字符串漏洞，不过它将printf的格式化字符串放到了bss段上去了。一般来说格式化字符串在bss段的话，就要在栈上构造跳板，通过跳板实现任意地

2018-10-03 hackme.inndy_writeup writeup pwn

mailer writeup

防护机制 [*] '/home/zs0zrc/pwn/Scoreboard/mailer/mailer' Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX disabled PIE: No PIE (0x8048000) RWX: Has RWX segments 程序逻辑很简单，只有两个功能 write mail 和dump int service() { unsigned int

2018-09-24 hackme.inndy_writeup writeup pwn

tictactoe2 writeup

防护机制： [*] '/home/zs0zrc/pwn/Scoreboard/tictactoe/tictactoe' Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x8048000) 这题文件和tictactoe1是一样的，只不过这个要求getshell，漏洞点也就是一个任意地址写，我对着分析了半天除了想到将n修改成0，使得可以进行9次任意地址写，就想不到什么

2018-09-24 hackme.inndy_writeup writeup pwn

tictactoe1 writeup

防护机制： [*] '/home/zs0zrc/pwn/Scoreboard/tictactoe/tictactoe' Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x8048000) 这个程序是模拟下三子棋的机器人，程序的漏洞在 unsigned int sub_8048A4B() { int v1; // [esp+4h] [ebp-14h] char

2018-09-24 hackme.inndy_writeup writeup pwn

DCTF Quals 2018 pwn题简单复现

这个比赛我就做出了第一道pwn….C++逆向真的是看到脑壳疼，还有一个pwn题用到了CVE-2018-11235 ….真的是打扰了 lucky 这道题是猜随机数，只是这题目是用C++写的，逆向看的有点难受因为随机数的seed在栈上，加上它在输入name时，用了strcpy函数，没有限制输入的长度，所以可以覆盖seed的值为0x61616161。加上它在输入名字后又srand了一次，所以seed就被我们控制了，产生的随机数也就是确定的。 ida反编译看到的代码是长这样的生成随机数的源码 #include <stdlib.h> #include <std

2018-09-24 CTF's writeup writeup pwn

notepad writeup

防护机制： [*] '/home/zs0zrc/pwn/Scoreboard/notepad/notepad' Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x8048000) 这题的漏洞主要在于 notepad_open函数中的menu函数，它对输入的上界进行了检查，但是没对下界进行检查，导致可以输入比 ‘a’小的字符,加上它根据menu的返回值来确定调用函数的

2018-09-23 hackme.inndy_writeup writeup pwn

onepunch writeup

防护机制： [*] '/home/zs0zrc/pwn/Scoreboard/onepunch/onepunch' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 程序的ida反编译出来的代码很短： int __cdecl main(int argc, const char **argv, const char **envp) { int v

2018-09-22 hackme.inndy_writeup writeup pwn

leave_msg writeup

防护机制： [*] '/home/zs0zrc/pwn/Scoreboard/leave_msg/leave_msg' Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX disabled PIE: No PIE (0x8048000) RWX: Has RWX segments 只开启了Canary，没开NX，说明应该是要写shellcode 拖入ida反编译，发现程序的功能很简单。可以输入三

2018-09-22 hackme.inndy_writeup writeup pwn

IDA的常见操作

IDA-python的使用：常用的api get_bytes(address,count)从address处读取count个字节的内容 patch_bytes(address,buf),将adress地址处patch成buf的内容 Xrefsto(address,flags=0) 找到所有引用了adress的地址 byte(address) 获取address地址的一个字节的内容一些IDA常用的快捷键：跳转到特定地址： G 查询交叉引用： X 查找字符串： alt + t 拍摄快照：ctrl+shift+w 重新定义变量数据类型 : y undefine一个函数： u crea

2018-09-21 TOOL pwn