we1come to carl's home

we1come to carl's home

a worm in cosmos

House Of Force mailer
idea看了一下逻辑发现只有 2 处的堆溢出,没有可以把堆 free 掉合并什么的功能,这就涉及到我的知识盲区了,谷歌堆溢出的利用方式,找到了 House Of Force 这个方法,那就来学习一下。 先看一下程序的保护,可以发现很喜人,nx rwx 都没开,如果有条件可以写 shellcode 到 bss 段之类的。 12345678❯ checksec mailer[*] '/Users/carlstar/Desktop/mailer' Arch: i386-32-little RELRO: Partial RELRO Stack: Canary...
hackme.inndy.tw notepad
idea1234567891011121314151617181920v8 = __readgsdword(0x14u);v2 = (int *)notepad_choose();if ( v2 ){ v3 = *v2; puts("note opened"); if ( *(_DWORD *)(v3 + 8) && yes_or_no("edit") ) { printf("content > "); fgets(&s, 4096, stdin); strncpy((char *)(v3 + 16), &...
Upload-labs 19关通关笔记
很早就下载了这个实验了,中间由于各种原因一直没玩=。=,主要是懒呀,今天把这个坑填一下。做完感觉学到了不少知识,感觉自己萌萌哒 xd pass1-js检测这关没啥好说的,直接 bp 抓包就可以绕过。 pass2-Content-type1234567891011121314151617$is_upload = false;$msg = null;if (isset($_POST['submit'])) { if (file_exists($UPLOAD_ADDR)) { if (($_FILES['upload_file']['type'] ==...
pwnable.tw hacknote
组里的师傅说每周一期刷题交流思路,感觉这个形式挺好,一方面督促拖延症的我,一方面又可以交换思路。嗯,这次的题目是 hacknote。一道比较基础的 uaf 漏洞,下面分析一下。 寻找漏洞点先看一下开启的保护情况 1234567❯ checksec hacknote[*] '/Users/carlstar/Downloads/hacknote' Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE...
xman冬令营预选赛arm-pwn
嗯,这次打冬令营预选赛有道 arm-pwn 没看。为哈~ 之前没做过 arm 指令集的 pwn 所以心里有点没底气,去看其它安卓逆向了 = =。后面启飞讲了一下,自己 ida 脱进去看了一下,卧槽。。。好简单,就是一个栈溢出然后做 rop,当然这里的简单指的是逻辑,具体的还需学习一下。 分析保护情况 123456'/Users/carlstar/Desktop/arm-pwn/attachment/pwn' Arch: arm-32-little RELRO: Partial RELRO Stack: Canary found NX: ...
南宁杯re-SMC.exe
写在前面之前做了一下这个比赛 pwn,这道题其实当时也看了一下,感觉逻辑比较复杂然后时间有点来不急就没再看了,之后逛先知社区发现有人写了一篇动态逆向这道题的文章,看了一下写的很详细,学习一下。 文章地址 idea先运行一下看看程序的大体逻辑,可以发现是一个经典的验证类型的程序。 然后去 ida 里面看看这个验证程序怎么实现的,flag 为 29 位的字符串最后一位是 ‘}’ ,然后进行前8位的校验。 v7是一个计数器,前 8 位每次与预设值验证相等的时候技术器会加 1 ,当 v7 等于 8 的时候就会进入下一轮的 check。本轮的 check 可以简化为 A ^ B == C ,我们...
33c3 ctf babyfengshui
idea老说要开始堆的学习,拒绝拖延症从我做起。XD 老规矩,先看一下开的保护情况。有 nx 和 canary,没有 pie ,got 表部分可写。 123456/home/carlstar/Desktop/babyfengshui' Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x8048000) 再看看逻辑是什么样子的,经典的菜单题目。像这种菜单题目最好先运行一下,这样可以更好的...
Meterpreter免杀总结
说两个通用的,毕竟高级的免杀方法都不可能公开,要不分分钟就被干掉了,大家且用且珍惜。现在的杀软都是静态 + 动态 + 流量分析了,下面这两个可以过一些国内常用的静态查杀,动态的话就之后再总结。 planA利用 msfvenom 生成 c 语言的 shellcode 然后拿其它编译器生成 exe 文件,如果默认使用 msfvenom 生成目标文件的话会留有 msfvenom 独有的特征码,非常明显大多数杀软都会匹配到。所以我们使用其它编译器来去除这个特征码。使用msfvenom选择encoder的时候大家一般都会选择shikata_ga_nai这个编码方式(因为x86的encoder里只有...
hackme inndy echo3
idea这道题的利用方式虽然也是格式化字符串,但是不在 stack 上而是在 bss 段,所以利用的方式也会变得复杂,不能直接修改指定位置的内存值,而是要构造一个 “跳板” 来实现任意位置的写。在 main 函数中还有一个坑:程式会取一个随机数用 alloca 函数来随机化栈地址,所以需要先泄漏一下栈地址。 1234567891011121314151617181920212223int __cdecl __noreturn main(int argc, const char **argv, const char **envp){ void *v3; // esp int ...
hackme.tw tictactoe
idea保护是这样子的,程序的逻辑很多,直接本地运行一下发现是棋类游戏。 1234567carlstar@ubuntu:~/Desktop$ checksec tictactoe [*] '/home/carlstar/Desktop/tictactoe' Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x8048000) 漏洞点在这里,在读落子的位置时没有校验输入的范围,可以输入负数...
avatar
carlstar
万物奇妙 万事出乎意料