RocketDevlog

自实现堆结合 small 堆块溢出覆写 size_flag 实现 small/large 转换，进而泄露 PIE 与 libc 并劫持 large->writer 触发 system 拿 flag。

我们在这几年的题目里常常看见题目给的ELF里出现大量的endbr64指令， 但是我们总是无视它，毕竟它从来不起作用。那么这个指令原先设计的用意是什么呢？ 直接搜索，我们发现它和Intel CET强相关，这是Intel引入的一项安全措施， 旨在尽量减少ROP/COP/JOP攻击。具体来说，要想开启CET，需要...

利用负索引绕过检查泄露 __dso_handle 与栈地址，通过修改 stdout 获取无限编辑机会，最终覆盖返回地址执行 shellcode。

利用部分写和任意写0泄露libc并拓展为任意写，构造House of Apple 2链，通过mov rsp, rdx; ret实现栈迁移绕过seccomp执行ROP打印flag。

在网鼎杯决赛，我还利用过 qemu-user 没有 NX 的特性，在栈上执行 shellcode， 然而在最近的湾区杯，有师傅惊讶地发现本地的 qemu-user 不能在栈上执行 shellcode 了。是我记错了？还是 qemu 发生了变更，增加了 NX？二分定位版本号后， 我最终定位到添加 NX 特性的版本是...

通过自定义AES换S盒加密登录验证、利用/log泄露libc和指令地址、/work触发栈溢出实现RCE获取flag。

利用虚拟机中sp越界漏洞，构造字节码劫持read@GOT为execve，执行execve("/bin/sh", 0, 0)获取shell。

利用栈溢出结合Partial Write泄露PIE和libc地址，构造ROP链绕过seccomp执行openat和sendfile读取flag。

利用构造器重置canary为0，泄露libc与栈地址后栈迁移执行system("/bin/sh")。

逆向分析基于 0dMIPS 模拟器的 MIPS64 程序内存，通过新增的 magic 指令与 magic_out 机制还原加密的 flag。