mint1.

IDA动态调试IDA动调有图形化界面，做逆向的时候学会了windows的，在回顾动态链接的延迟绑定的时候又尝试了用IDA远程动调elf文件 目前了解到IDA动态调试可以通过附加到一个已经运行的进程上，从而开始调试，也可以启动新进程来调试 指令F9继续运行，F7步入，F8步过，F2下断点 通过Debugger-Breakpoints-Breakpoint list或者Ctrl+Alt+B来查看已经下的断点 通过Debugger-Debugger windows-Stack trace或者Ctrl+Alt+S查看是谁调用了当前的函数 下断点IDA中下断点要启动源码级调试，否则断点无效 也可以在Debugger中找到 动调elf：动调elf是利用IDA自己提供的调试服务器，如 linux_server 或 linux_server64 ，这些服务器可以在目标机器上运行，并通过特定端口与 IDA 客户端通信，通过远程调试。 首先要打开安装IDA的目录在/dbgsrv中找到linux_server和linux_sever32两个文件，将其复制到装有linux系统的虚拟 ...

ret2dlresolve参考资料： https://ctf-wiki.org/pwn/linux/user-mode/stackoverflow/x86/advanced-rop/ret2dlresolve/ https://blog.csdn.net/seaaseesa/article/details/104478081 Return-to-dl-resolve | BruceFan’s Blog 原理：相关结构ELF可执行文件由ELF头部、程序头部表和其对应的段、节头部表和其对应的节组成。如果一个可执行文件参与动态链接，它的程序头部表将包含类型为PT_DYNAMIC的段，它包含.dynamic节。结构如下： 1234567typedef struct { Elf32_Sword d_tag; union { Elf32_Word d_val; Elf32_Addr d_ptr; } d_un;} Elf32_Dyn; 其中tag对应着每个节，比如JMPREL对应着.rel.plt 节中包含目 ...

pwn签开了canary，可以用printf泄露canary后面直接打libc就好了 libc：libc database search 1234567891011121314151617181920212223242526272829303132333435363738394041from pwn import *context(arch = 'i386',os = 'linux',log_level = 'debug')#io = remote('192.168.9.151',55097)#io = process(# ["/home/pwn/桌面/ld.so.2", "./pwn"],# env={"LD_PRELOAD": "/home/pwn/桌面/libc.so.6"},#)#io=process('./pwn')io=remote('101.200.15 ...

蓝桥杯wp数据分析ezEvtx筛选出告警日志发现文件操作 flag{confidential.docx } flowzip010Editor打开搜索flag字符串 flag{c6db63e6-6459-4e75-bb37-3aec5d2b947b} 密码破解Enigma 输入输出交换即可 漏洞挖掘与分析RuneBreach简单的ORW，输入4次N后会gameover在bss段上分配一个可读写执行的区域可以用来写系统调用，最后会return到该区域 exp 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152from pwn import*context(arch = 'amd64',os = 'linux',log_level = 'debug')io=remote('39.107.248.198',33600)#io=process('./pwn' ...

Linux相关搭建该服务器的技术员IP地址是多少（查看登录信息）1last 查看操作系统发行版本号1cat /etc/*-release 扩展：查看Linux发行版名称、版本号和内核版本的方法 bash # lsb_release -aLSB（ Linux 标准库(Linux Standard Base)）能够打印发行版的具体信息, 包括发行版名称、版本号、代号等。 bash # cat /etc/*-releaserelease 文件通常被视为操作系统的标识。在 /etc 目录下放置了很多记录着发行版各种信息的文件, 每个发行版都各自有一套这样记录着相关信息的文件。 bash # uname -auname（unix name 的意思） 是一个打印系统信息的工具, 包括内核名称、版本号、系统详细信息以及所运行的操作系统等等。 bash # cat /proc/version记录 Linux 内核的版本、用于编译内核的 gcc 的版本、内核编译的时间, 以及内核编译者的用户名。 bash # dmesg | grep “lin ...

BaseCTF2024新生赛pwn题浮现只记录了部分题目 她与你皆失简单的ret2libc但是有个小tips，获取二次输入如果直接跳转到main函数程序无法打通估计是某个寄存器的值不满足，可以选择跳转到start的地址从头开始运行程序保证寄存器的值正常 123456789101112131415161718192021222324252627282930from pwn import*context(arch='amd64',os = 'linux',log_level='debug')io=remote('gz.imxbt.cn',20992)#io=process('./pwn')elf=ELF('./pwn')libc=ELF('./libc.so.6')pop_rdi= 0x401176ret_addr = 0x0040101aread = elf.sym['read']puts_plt = elf.plt[' ...

这篇文章用于记录函数的详细信息csetbufsetbuf 函数用于设置文件流的缓冲区。它允许你指定一个用户提供的缓冲区，用于文件的输入输出操作 1void setbuf(FILE *stream, char *buf); setbuf只有全缓冲或无缓冲 参数 含义 stream 要设置缓冲区的文件流。 buf 用户提供的缓冲区。如果 buf 为 NULL，则禁用缓冲。 文件流 含义 stdio 标准输入流 stdout 标准输出流 stderr 标准错误流 缓冲模式 对应字符 无缓冲_IONBF 0 或 NULL 全缓冲_IOFBF 2 setvbuf1int setvbuf(FILE *stream, char *buf, int mode, size_t size); 参数： 1234567stream：要设置缓冲区的文件流。buf：用户提供的缓冲区。如果为 NULL，则使用系统分配的缓冲区。mode：缓冲类型，可以是以下值：_IOFBF：全缓冲。_IOLBF：行缓冲。_IONBF：无缓冲。size：缓冲区大小。 ...

ez shellcode分析checksec 发现开了nx,没开canary 分析main函数 发现第一次read获取输入填入bss段的shellcode中，但bss段可读可写不可执行，找找有没有提权函数，没开canary可以利用gets部分截取执行流。 发现提权函数gift（真的是一个好gift） mprotect()函数将bss段的shellcode部分设置为可执行 mprotect()函数注释 mprotect(shellcode, 0x500uLL, 4) 是一个调用 mprotect() 函数的语句，其作用是改变从地址 shellcode 开始、长度为 0x500 字节（即1280字节）的内存区域的保护属性。这里的参数解释如下： shellcode：这是指向需要修改权限的内存区域起始地址的指针。 0x500uLL：表示要修改权限的内存区域的长度，单位是字节。这里使用无符号长整型（unsigned long long），确保可以处理较大的值。 4 ：新的保护标志，通常代表可读、可写和可执行权限。在Linux中，这个值通常是通过宏定义组合而成的： PROT_REA ...

国内比赛XYCTF2025girlfirendcheck发现保护全开，有菜单但是似乎不是堆题 发现有system("echo /flag"); 但是没有/bin/sh 解析各个选择 1： 123456789101112131415161718192021__int64 lll1(){ char buf[56]; // [rsp+0h] [rbp-40h] BYREF unsigned __int64 v2; // [rsp+38h] [rbp-8h] v2 = __readfsqword(0x28u); if ( dword_4094 ) { puts("You have already tried to talk to her, and she left..."); } else { dword_4094 = 1; puts("Girl is very beautiful!"); puts("what do you ...

pwn75栈迁移check 1234567桌面$ checksec pwn[*] '/home/pwn/桌面/pwn' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 题目提示”栈空间不够怎么办”，可以用栈迁移 栈迁移原理是利用两次leave ret先将ebp的值修改为输入shell的地址，再利用第二次leave ret将esp的值改为ebp的值，pop ebp将此时栈顶的值弹入ebp中，esp+4执行ret也就是pop eip将当前栈顶内容弹入执行流，使我们压在栈上非返回地址处的地址也可以执行达到控制执行流的效果 观察程序 漏洞函数：ctfshow 1234567891011int ctfshow(){ char s[36]; // [esp+0h] [ebp-28h] BYREF memset(s, 0, 0x20u) ...