CNVD-2018-01084
2025-06-16 863 字 3 分钟

CNVD-2018-01084

CNVD-2018-01084 命令注入漏洞复现| 0 | 前言第一次摸到命令注入漏洞,和CNVD-2013-11625有着相似的模式,过程非常轻松,已经学会了一点点逆向偷跑的小技巧 全程看着winmt大哥的记录复现的 官方报告: D-Link DIR 615/645/815 service.cgi远程命令执行漏洞 固件获取: 固件下载 | 1 | 前期准备仍然使用binwlak解包,目前还没遇到过加密的固件包,不过估计快了 1binwalk -e --preserve-symlinks DIR-815\ FW\ 1.01b14_1.01b14.bin | 2 | 文件
2025-06-15 0 字 1 分钟

only_read的三种解法
2025-06-13 2.8k 字 13 分钟

only_read的三种解法

2025 ACTF only_read的三种解法| 0 | 前言回顾2025actf,常规glibc_ctf只有一道only_read,虽然我最后成功解出来了(偷跑),但是在看了Unauth师傅的ret2dlresolve和星盟师傅的magic_gadget利用后越来越感觉自己的手法丑陋无比,所以今天在这里将三种解法都展现出来 同时十分感谢星盟师傅教会了我如何在没有csu片段的情况下利用magic_gadget重定向函数的got表 题目链接:攻防世界 | 1 | 题目分析123456789[*] '/home/zer00ne/Desktop/ACTF/3/pwn' A
CNVD-2013-11625
2025-06-11 3.2k 字 12 分钟

CNVD-2013-11625

DIR-815 栈溢出漏洞复现前言这是我选择复现的第一个iot漏洞,总是对栈溢出有种特别的执念,有种学了一大圈又绕回来的感觉 同时这个固件也是Mips架构的,正好加强一下自己对mips的理解 官方的漏洞报告:DIR-815 | 0 | 准备固件下载地址:下载 (需要挂梯子) binwalk安装:sudo apt install binwalk sasquatch安装:https://github.com/devttys0/sasquatch | 1 | 固件提取将下载的bin文件传送到虚拟机中,使用如下命令 1binwalk -e --preserve-symlinks firmware_n
arm合集
2025-05-29 3.3k 字 15 分钟

arm合集

从0开始的iot学习记录-arm篇前言 这篇博客会持续更新,作为我入坑iot的异架构学习记录 会记录刷题记录和arm汇编指令集 感谢winmt师傅,孤鸿师傅和爱师傅的帮助指导和🍐 环境配置和启动,调试配置环境主要需要的是gdbserver,gdb-multiarch和qemu可以参考孤鸿师傅的博客配置:Blog 启动,调试启动直接使用 1qemu-aarch64 ./pwn 调试分为直接调试和加载进程调试 直接调试在shell中输入 1qemu-aarch64 -g 1234 ./pwn qemu设置架构,-g指定端口为1234,运行的文件为./pwn 此时在另一个端口输入
LitCTF
2025-05-27 1.4k 字 6 分钟

LitCTF

一次有趣的非栈上格式化字符串攻击参考:孤鸿师傅的博客 题目链接:NSS靶场 前言:litctf中出现的一道奇怪的题目,打完比赛后gets师傅告诉我这种题出现过几次,还甩给我一篇博客.结果打开一看,发现是楠哥的文章. 世界可真小 glibc的知识怎么永远学不完啊 题目分析 题目给了我们栈地址和libc地址,,并给了我们一次非栈上格式化字符串的机会,之后立马使用_exit(0)退出 由于使用的是_exit(0)我们无法使用exit_hook或FSOP 本题几乎是摆明了要让我们修改printf的返回地址 回顾:非栈上格式化字符串实现任意地址写在常规的非栈上格式化字符串利用中,我们总是有着无限的格式化
house of some
2025-05-15 1.9k 字 9 分钟

house of some

House of some前言: 在22年,roderick01师傅发现了hosue of apple手法,宽字节跳表攻击几乎成为了每位pwn手的必备技能.house of apple2更是以简单的模板,极高的效率成为了传播范围,利用效率最高的IO攻击手法 之所以house of apple2有效是因为glibc没有对wide_data结构体中的跳表指针进行范围的检查,但是我们通过_IO_wfile_overflow调用位于wide_data(0x68)处的任意函数指针(system,one_gadget,setcontext,swapcontext)实现getshell或orw 总有一天,这
MiniLCTF 2023
2025-05-15 2.7k 字 12 分钟

MiniLCTF 2023

MiniLCTF 2023前言: 今天无聊时翻田师傅的博客,看到关于2023年的miniLCTF觉得挺有意思的,刚刚好下午没课,就花了一下午+晚上复现 ezbook的多线程竞争暂时看不懂 真的是ez吗我不禁想问 靶场链接:靶场 1. “3calls” check函数是用于检查我们调用的是不是libc函数,在调试时check函数会打开新的线程导致gdb终止,我们可以使用IDA将call check这段nop掉*(关于使用IDA来修改elf文件在我的第一篇iot博客内)* main函数的核心功能与特点为: 给我们libc的地址 让我们输入三个函数地址 对三个地址中的函数进行调用 调用函数时无法
io_uring
2025-04-28 1.1k 字 4 分钟

io_uring

io_uring|0| 前言 在我打算认真了解前已经在校队面试,VN面试被问过io_uring,本来我想着考过就不会考的原则忽视这个内容,但昨晚被winmt大哥拷打完后又觉得不能自我欺骗,刚刚好复现actf_2023遇到了io_uring,打算认真了解一下.* |1| 原理 io_uring是Linux 内核的高性能异步 I/O 框架 io_uring 特点:完全异步,支持任意类型的 I/O,灵活可拓展 io_uring 提供两个接口,一个将 I/O 请求提交到内核,一个从内核接收完成事件,io_uring 在当前进程和内核之间共享内存 (通过 mmap 在当前
something_interesting
2025-04-15 3.4k 字 15 分钟

something_interesting

奇奇怪怪的技巧前言: 主播最近打了一些比赛,遇到了不少奇奇怪怪的手法,不过好在几乎都有惊无险地打过去了 主播还是没能学会ret2dlresolve,不知道ret2dlresolve的博客什么时候才能发出来 :( 部分题目因为供题人的要求不能发出附件 :( 不好意思 1.execv调用 此处可以布置一个ROP,没有沙箱可以直接获取shell 我在之前进行了多次栈迁移(迁移到bss上),导致无法调用system(“/bin/sh”) 1system("/bin/sh")会使用大量push操作(俗称抬栈),如果我们的"栈"处于一个比较