利用负索引绕过检查泄露 __dso_handle 与栈地址,通过修改 stdout 获取无限编辑机会,最终覆盖返回地址执行 shellcode。
-
强网杯 S9 2025 初赛 - file-system
-
强网杯S9 2025 初赛 - bph
利用部分写和任意写0泄露libc并拓展为任意写,构造House of Apple 2链,通过
mov rsp, rdx; ret实现栈迁移绕过seccomp执行ROP打印flag。 -
QEMU 引入 NX 到 qemu-user 中(栈不可执行)
在网鼎杯决赛,我还利用过 qemu-user 没有 NX 的特性,在栈上执行 shellcode, 然而在最近的湾区杯,有师傅惊讶地发现本地的 qemu-user 不能在栈上执行 shellcode 了。是我记错了?还是 qemu 发生了变更,增加了 NX?二分定位版本号后, 我最终定位到添加 NX 特性的版本是...
-
羊城杯 2025 初赛 - hello_iot
通过自定义AES换S盒加密登录验证、利用
/log泄露libc和指令地址、/work触发栈溢出实现RCE获取flag。 -
羊城杯 2025 初赛 - mvmps
利用虚拟机中
sp越界漏洞,构造字节码劫持read@GOT为execve,执行execve("/bin/sh", 0, 0)获取shell。 -
羊城杯 2025 初赛 - stack
利用栈溢出结合Partial Write泄露PIE和libc地址,构造ROP链绕过seccomp执行
openat和sendfile读取flag。 -
湾区杯 2025 初赛 - odd_canary
利用构造器重置canary为0,泄露libc与栈地址后栈迁移执行
system("/bin/sh")。 -
陇剑杯 2025 初赛 - MagicBox
逆向分析基于 0dMIPS 模拟器的 MIPS64 程序内存,通过新增的 magic 指令与 magic_out 机制还原加密的 flag。
-
从前端解决下载无后缀文件出现后缀的问题.txt
最近我们的新生训练赛就要开始了,题目陆陆续续到了测试阶段,对于pwn题, 一些简单题就只需要提供一个binary文件,没有后缀,下载下来就能直接打。结果上传一看, 限制了文件类型。好不容易能上传任意文件了,下载下来却发现多了一个
.txt后缀。 ELF怎么可能有后缀呢... -
在termux上运行pwndbg
在开发过程中,调试器是绕不开的一环,如果使用gdb的话,pwndbg是必不可少的伴侣。 平时大家主要在 PC 上使用 pwndbg,但偶尔只带了手机时,也需要在手机上做一些探索。 借助termux,可以实现在手机上编译并调试,不过只有原版的gdb未免过于简陋,有没有办法将 pwndbg搬到手机上呢?有的,兄弟...