house of water
2025-08-02 1.5k 字 7 分钟

house of water

house of water : 一种无泄露情况下的堆利用手法| 0 | 前言一种可以在没有显式打印函数存在情况下,将libc指针写入tcachebins的手法 虽然条件苛刻但是思路十分巧妙 | 1 | 利用条件 我们可以对堆块进行use-after-free操作 能够malloc/free一个较大堆块(0x9000) 无需溢出与泄露内存即可完成攻击 我们在攻击的过程中需要几枚悬空指针,如果在真实ctf环境中要先堆好风水,预留好指针的位置 | 2 | 攻击演示0x00设置伪造chunksize当我们申请了0x3d0与0x3e0两种堆块并释放后,在tcachebins_struct中会出现一个
totolink
2025-07-29 4.5k 字 24 分钟

totolink

TOTOLINK–webserver与cgi| 0 | 前言经过了nepctf的洗礼,感觉自己找回了对二进制安全的热爱 依旧不会web,依旧被拷打…不过已经开始补web的知识了 | 1 | web基础知识固件包中,常见的二进制文件包括httpd/xxx(.cgi) httpd用于 维护webserver,监听端口,等待客户端发发送的请求 显示静态页面(资源) 调用后端程序(cgi,php)处理请求 处理HTTP协议细节,如重定向、状态码、缓存控制 cgi用于请求处理的具体实现 httpd会fork出一个子进程用于执行(execve)cgi程序 httpd获取client报文,将不
NEPctf2025
2025-07-29 8.6k 字 46 分钟

NEPctf2025

NEPCTF2025-pwn| 0 | 前言今年的nep和往年比简单不少,但对我来说还是很有挑战的 QwQ 之前的半个月因为学iot和kernel导致我对二进制安全有点提不起兴趣,但是nep一下把我的状态打满了 :) 本次的成绩为4/5,差一点ak了 | 1 | 题目解析0x00.Time 12345678910111213141516171819unsigned __int64 input_my_name(){ char *argv[5]; // [rsp+10h] [rbp-30h] BYREF unsigned __int64 v2; // [rsp+38h] [
CVE-2005-2799
2025-07-14 1.4k 字 6 分钟

CVE-2005-2799

Linksys 栈溢出漏洞复现| 0 | 前言依然是一道关于hook使用方法的复现 此次复现记录来源于一本书家用路由器0day漏洞挖掘技术 同时使用的攻击手法是一种特殊的栈溢出 | 1 | 固件下载&解包下载地址linksys_wrt54gv2 固件解包1binwalk -e --preserve-symlinks WRT54GV3.1_4.00.7_US_code.bin | 2 | 环境修复 可以看到有很多关于nvram函数的调用,我们使用qemu模拟不可能有nvram,所以要使用hook劫持这些函数 工具 zcutlip修复NVRAM 下载地址 https://github.c
NetCore RCE漏洞
2025-07-10 1.2k 字 5 分钟

NetCore RCE漏洞

NetCore 后门RCE漏洞| 0 | 前言在netcore路由器设备中存在硬编码的登录密码,可以通过登录+命令注入实现执行任意系统命令、上传/下载文件、控制路由器任意命令执行 | 1 | 固件下载&解包&qemu配置固件下载下载地址 固件解包1binwalk -e --preserve-symlinks T1.bin qemu配置本固件是socket服务,我习惯使用qemu的system仿真 下载所需的qemu,内核文件 debian_wheezy_mipsel_standard.qcow2 vmlinux-3.2.0-4-4kc-malta 将文件复制到虚拟机
PSV-2020-0211
2025-07-10 3k 字 13 分钟

PSV-2020-0211

PSV-2020-0211:Netgear R8300 UPnP 栈溢出漏洞| 0 | 前言本次的漏洞复现比较特殊的是环境搭建中的 hook操作,属于 iot安全研究中一个很巧妙的手法 我通过这个漏洞展现一个如何通过 hook绕过一些硬件的检测 | 1 | 环境搭建1.1 下载官方提供了固件的下载,根据官网漏洞报告于 V1.0.2.134 中修复了该漏洞,所以可以选取任意之前的版本,我选择的是 V1.0.2.130 下载地址 : netgear R8300 解包依旧使用 binwalk解包 1binwalk -e --preserve-symlinks R8300-V1.0.2.130_1.0
TP-Link SR20 RCE漏洞
2025-07-08 1.7k 字 7 分钟

TP-Link SR20 RCE漏洞

TP-Link SR20 RCE漏洞| 0 | 前言TDDP协议(TP-LINK Device Debug Protocol) 是TP-LINK申请了专利的一种在UPD通信的基础上设计的协议,而Google著名安全专家Matthew Garrett在TP-Link SR20设备上的TDDP协议文件中发现了一处可造成 “允许来自本地网络连接的任意命令执行”(RCE) 的漏洞. UPD通信协议的设计目的:轻便、快速、不建立连接(不像TCP那样要三次握手) | 1 | 固件下载&解包&qemu配置下载地址 :SR20(US)_V1_180518 解包1binwalk -e --pre
CVE-2018-7034
2025-07-07 2.6k 字 12 分钟

CVE-2018-7034

CVE-2018-7034 信息泄露漏洞复现| 0 | 前言TrendNet设备,参数处理过程和前两篇文章复现差不多,这次了解到跨文件的漏洞利用–c语言处理后的请求被传入php文件实现了account与passwd的泄露 可惜的是现在已经没有公网设备还留存着这个漏洞,导致只能在本地复现 : ( | 1 | 固件下载与解包TrendNet官网:   固件下载地址 下载后在虚拟机中使用binwalk解包 1binwalk -e --preserve-symlinks TEW751DR_FW103B03.bin | 2 | 漏洞文件逆向分析php文件分析我们打开web文件夹(web文件夹内的文件会
r树的秘密
2025-06-28 4.5k 字 21 分钟

r树的秘密

fuzzing?fuzzing!(ᗜᴗᗜ)| 0 | 前言如果你也遇到过:IDA反编译出来的数据结构充满了各种交叉引用与奇奇怪怪的数据结构,别说逆向分析了,就算是用gdb调试出来都是越看越晕✋别担心,fuzzing会帮你解决一切😇😇😇 | 1 | 原理通过查询gpt,我们获得以下信息 Fuzzing,中文一般翻译为“模糊测试”,是一种自动化测试技术,主要用于发现程序中的漏洞和异常行为。它的核心思想就像是: 「嘿我往你的程序里灌各种奇怪、乱七八糟的输入,看看你会不会崩溃(*≧▽≦)ノシ)」 比如你有个程序需要用户输入用户名,那Fuzzer就会试着输入: 超长字符串(比如上万字节的“A
CNVD-2018-01084
2025-06-16 863 字 3 分钟

CNVD-2018-01084

CNVD-2018-01084 命令注入漏洞复现| 0 | 前言第一次摸到命令注入漏洞,和CNVD-2013-11625有着相似的模式,过程非常轻松,已经学会了一点点逆向偷跑的小技巧 全程看着winmt大哥的记录复现的 官方报告: D-Link DIR 615/645/815 service.cgi远程命令执行漏洞 固件获取: 固件下载 | 1 | 前期准备仍然使用binwlak解包,目前还没遇到过加密的固件包,不过估计快了 1binwalk -e --preserve-symlinks DIR-815\ FW\ 1.01b14_1.01b14.bin | 2 | 文件