前言该系列文章将会记录内核pwn从零到一的练习过程，本文章建议与CTF Wiki-kernel_ROP部分 搭配食用。 例题：[CATCTF2022] kernel-test题目附件：https://z-l-s-f.lanzouq.com/io27D319gnad 附件密码：f389 远程容器：攻防世界 远程容器需要在pwn分页中搜索kernel-test可找到。 boot.sh: 1234

蜀道山CTF-PWN附件下载：https://z-l-s-f.lanzouq.com/ixEZc2g31zdg one_heap​ check： ​ 题目保护全开 ​ 漏洞点： ​ 1. ​ uaf漏洞。 ​ 2. ​ 输出指向当前堆块的地址（而非堆块的内容）。 ​ 思路： ​ 题目只允许一次操作一个堆块，但是我们可以通过magic函数来造成tcachebin的uaf，释放任意一堆块获得

本周学习总结 周报轻启，如画卷缓缓展，CTF四季更迭，尽藏其间。 岁月织锦，字字珠玑绘流年，一年光景，凝于尺素，诗意盎然，璀璨夺目。(by_AI) 全局常量声明：文章内容仅是由教程观点和自己总结获得，仅供参考。 一、[polarctf2024春季个人挑战赛]–tchunk Glibc: 2.23-0ubuntu11.3_amd64 Check: 64位程序，保护全开。 Ida： 漏洞点： 存在

本周学习总结 麻垮，这周遇到随机数仙人了。 全局常量声明：文章内容仅是由教程观点和自己总结获得，仅供参考。 一、[2023年春秋杯网络安全联赛春季赛]–three-body–你也是ETO的人？ Glibc版本:Ubuntu GLIBC 2.35-0ubuntu3 Check: 64位程序保护全开。 Ida： 漏洞点： 存在uaf漏洞。 程序本身是一道完整的堆题，只有一次show的机会和一次ed

本周学习总结 感觉一周什么都没干… 全局常量声明：文章内容仅是由教程观点和自己总结获得，仅供参考。 一、字符串格式化漏洞–printf覆盖自己的返回地址 条件： 1、已知栈上的地址。 2、只有一次栈上的字符串格式化漏洞利用机会。 checksec： 除了PIE其他保护全开。 ida： main： 不用想着去劫持变量w了，因为w是在字符串格式化漏洞完成后赋值为0的，也不能重新劫持返回地址到ma

本周学习总结 CTFの康复训练 全局常量声明：文章内容仅是由教程观点和自己总结获得，仅供参考。 一、[2024春秋杯夏季联赛]–stdout check： 64位程序，开启NX。 ida分析： main： vuln： 看起来是个常见的缓冲区溢出漏洞，但是在init函数中设置输出缓冲区初始化的时候关闭了输出导致不能产生然后回显，所以不能暴露任何地址或信息，还容易造成缓冲区混乱。 init：

本周学习总结 WHAT! IS! IO! 全局常量声明：文章内容仅是由教程观点和自己总结获得，仅供参考。 一、house of apple攻击模式 House of apple系列估计是我学的第一个对比较新的glibc还有效攻击的手法。 该攻击的利用条件十分的简单： | 1、程序从main函数返回或能调用exit函数2、能泄露出heap地址和libc地址3、 能使用一次largebin attac

本周学习总结 咕了这么久，总算是正式开启堆打IO的学习之路了。 全局常量声明：文章内容仅是由教程观点和自己总结获得，仅供参考。 一、攻击IO劫持程序流的根本原理。 程序在使用exit退出或发生堆错误进行输出时会调用某函数对每个IO进行某些操作，这些函数最终调用的是一个叫_IO_flush_all_lockp的函数，在该函数中满足某些条件时会调用over_flow函数，而该函数是以一种调用地址存在于

本周学习总结 CISN，ISCC，what can i say？ 全局常量声明：文章内容仅是由教程观点和自己总结获得，仅供参考。 一、[CISN2024初赛]–gostack Check: 64位程序，NX全开。 关键代码如下： 虽然代码反编译出来是依托答辩，但是我们可以通过gdb的动态调试获得一些漏洞。 调试的结果就是可以用0x1D8的填充进行栈溢出，但要求0x108的填充位置为栈上的一

本周学习总结 全局常量声明：文章内容仅是由教程观点和自己总结获得，仅供参考。 py，爽！ 一、[ISCC2024]–miao Check: 32位程序，开启canary和NX。 漏洞点： 先通过字符串格式化漏洞泄漏canary，然后第二次栈溢出构造ROP来getshell。 exp： 123456789101112131415161718192021222324252627282930313