本周学习总结 全局常量声明：文章内容仅是由教程观点和自己总结获得，仅供参考。 py，爽！ 一、[ISCC2024]–miao Check: 32位程序，开启canary和NX。 漏洞点： 先通过字符串格式化漏洞泄漏canary，然后第二次栈溢出构造ROP来getshell。 exp： 123456789101112131415161718192021222324252627282930313

本周学习总结 ISCC，我阐述你的梦。 全局常量声明：文章内容仅是由教程观点和自己总结获得，仅供参考。 一、[ISCC2024]–chaos 看，别问。 flag：ISCC{M6u7oMuvYXbuBlFIjBcHwSmx8jmU2LBrJPCt} 二、[ISCC2024]–ISCC_easy check: 32位程序，NX保护开启。 漏洞为字符串格式漏洞和栈溢出漏洞。 exp: 123456

本周学习总结 全局常量声明：文章内容仅是由教程观点和自己总结获得，仅供参考。 一、Unlink 测试Glibc为2.23-0ubuntu11.3_amd64 对于Unlink手法的使用和效果在B站星盟团队的pwn系列视频中有详细的讲解。 视频链接：Unlink_哔哩哔哩_bilibili 这里进行适当补充。 1.在测试的Glibc环境下，只有当相邻堆块差距达到一定大小的情况下才会触发相邻合并（比如

本周学习总结 全局常量声明：文章内容仅是由教程观点和自己总结获得，仅供参考。 一、[HCTF 2nd]–fmt 基础的栈上字符串格式化泄漏，通过%35$p获得__libc_start_main+231的地址，通过计算获得libc基地址，通过%39$p获得pie+0x992的地址，通过计算获得pie的基地址。 vuln3本身是无限死循环且无法退出，所以这里考虑攻击printf的got表改为syste

本周学习总结 最近挺忙的，水一下算了。 全局常量声明：新手上路，文章内容仅是由教程观点和自己总结获得，仅供参考。 一、[NSSRound#21 Basic]–Beautiful_Girl 本来是一道IO题，但是由于出题人故意留下的障眼法给变简单了。 用特意溢出的一个字节可以让我们控制rbp的最后一个字节，这就可以让我们用运气法来控制程序流到ROP，由于程序比上次的题复杂，所以成功概率较低。 exp

本周学习总结 终于轮到我打新手赛了。 全局常量声明：新手上路，文章内容仅是由教程观点和自己总结获得，仅供参考。 一、[Easy] – [XYCTF2024]static_link Check: 64位程序，开启canary和NX。 虽然checksec检查到了canary，但是vuln函数并没有使用canary。我们现在有了0x100 - 0x28 的溢出。 程序中未发现system和”&#

本周学习总结 复现一点陈年老题。(Word*) Ptr -> pw 全局常量声明：新手上路，文章内容仅是由教程观点和自己总结获得，仅供参考。 一、下次一定 下次一定。 二、[Easy?]–write1 Check: 64位程序，开启canary和NX Ida: do_something： Door: 细节题。程序中有一个无限输入，但是并不在栈上，所以没什么用，程序也没有可暴露canar

本周学习总结 堆 堆 堆 堆 堆 堆 堆 堆 堆 堆 堆 堆 堆 堆 堆 全局常量声明：新手上路，文章内容仅是由教程观点和自己总结获得，仅供参考。 一、double free double free是一种常见的堆攻击办法，通过重复释放同一堆块来修改其fd和bk指针来实现地址任意写。 但是同时glibc也对double free做了预防，但是仍然存在绕过的办法。 这里为了简单粗暴的展示这种有效的攻击

本周学习总结 全局常量声明：新手上路，文章内容仅是由教程观点和自己总结获得，仅供参考。 一、更方便的设置题目的libc 需要提前准备好patchelf和glibc-all-in-one。 通过linux支持的sh脚本来创建一个全局可调用的可交互且方便的设置题目libc的方法。 在使用这个脚本之前你需要对脚本的路径做出合适的修改，默认应该将glibc-all-in-one放在当前用户的家目录下，如果

本周学习总结 本来看了堆教程视频，准备拿青少年CTF做训练，结果打了个寂寞。 全局常量声明：新手上路，文章内容仅是由教程观点和自己总结获得，仅供参考。 一、Offbyone 同样是在堆溢出的漏洞可以实现此漏洞，但是只需要溢出1字节。 对于unsortedbins， glibc会不停的对其其中的物理相邻的块进行合并，而我们正式利用了这一点。 在块的size字段中记录了上个堆块的空闲状态和本堆块的大小