小米路由器4-从开始到放弃 发表于 2019-07-03 | 分类于 IoT 小米路由器4-从开始到放弃之前入手了一台小米路由器4,想着来分析一下这款路由器,结果发现每一步都不好做,里面做了很多防护措施,最后由于水平有限,选择了放弃。不过这里还是把整个过程记录一下,由于文章是边做边记录的,所以结构上会有点杂乱。 路由器信息路由器型号:小米路由器4 后台界面:miwifi.co ... 阅读全文 »
CISCN华北赛区半决赛部分pwn题解 发表于 2019-06-11 | 分类于 pwn 线下半决赛国赛华北赛区半决赛pwn部分的wp,大部分的题目都不是很难,这里把做出来的题的wp贴一下,来水一篇博客 pwn1直接栈溢出加ROP,劫持栈到bss段上,ROP调用system getshell1234567891011121314151617181920212223242526272829 ... 阅读全文 »
starctf-heap_master题解 发表于 2019-05-11 | 分类于 pwn starctf-heap_master题解这题在比赛中没有解出来,赛后对着网上的writeup调了一遍,主要是ROIS和官方的这两篇,学习了一波!相关的文件可以在点击这里下载 题目信息程序在初始化的时候mmap了一段地址随机且大小为0x10000的内存,之后所有的操作都是基于在这段内存上进行的。 程 ... 阅读全文 »
ARM固件加载基址 发表于 2019-05-09 | 分类于 IoT 定位arm固件基址本文主要参考了ARM设备固件装载基址定位的研究这篇论文中提到的手工定位的arm固件基址的方法。同时,论文中还提出了其它几种自动定位固件基址的方法,主要是: 基于函数入口表的装载基址定位方法 基于字符串地址集合的装载基址定位方法 基于文字池匹配的装载基址定位方法 基于字符串存储长度 ... 阅读全文 »
0ctf2019-plang题解 发表于 2019-04-27 | 分类于 pwn 0ctf2019-plang题解这是一道关于js解释引擎的一道题,以前没做过类似的题,赛后在Ne0师傅写的writeup基础上自己调了一遍,记录一下调试的过程。相关的文件可以点击这里下载 基本信息将poc中的内容输入给程序,发现程序崩溃,报段错误: 新建/var/crash目录,执行下列命令:12 ... 阅读全文 »
0ctf2019-zerotask题解 发表于 2019-04-26 | 分类于 pwn 0ctf2019-zerotask题解周末打了0ctf,队里的师傅们一共做出来3道pwn。感觉这几道题都需要记录一下,而且好久都没有更新博客了,借着这次机会更新一下。 本片介绍的是zerotask,这题比赛的过程中发现了两种解法,赛后调了另一种解法,感觉挺有意思。 程序功能分析查看程序提供的菜单,可 ... 阅读全文 »
bctf-两道tcache题解 发表于 2019-04-26 | 分类于 pwn 去年12月份打的比赛,一共6道pwn,和室友一起做了5道,出了两道tcache,这可能算是我第一次在比赛里面做出来题,所以记得比较清楚哈~ tcache的题做起来感觉很有意思,主要是对tcache的安全限制太小了。这里的两道题都值得好好的做一下,其中的houseofAtum更是第一次出现在比赛里面。 ... 阅读全文 »
线下赛patch实战 发表于 2019-04-19 | 分类于 pwn 使用call指令进行hook程序在用call指令调用存在漏洞的函数时,我们需要对这条call指令进行hook,例如off-by-one漏洞,可以对其进行hook,对参数进行修改之后再继续调用原来的函数 目标这里以ctfwiki上的一道b00ks为例,题目中读取数据的函数会多读入2个字节的数据,程序在 ... 阅读全文 »
线下赛patch工具介绍 发表于 2019-04-19 | 分类于 pwn 因为要去参加某比赛的线下赛,所以准备了一下线下patch相关的东西(然而参加了才发现根本没pwn选手什么事,全程在帮web大佬运维,各种删马、各种杀进程)。本文主要参考的是P4nda师傅写的patch相关的文章,在此基础上自己patch了一番。 使用IDA直接patch这种方式适合于较简单的修改,不 ... 阅读全文 »
hitconctf-baby_tcache 发表于 2019-04-19 | 分类于 pwn baby_tcache这是一道tcache的题目,也是我第一次遇到tcache相关的题,而且发现最近很多比赛都出现了这类题,这道题里面信息泄露的思路也是第一次遇见,于是就记录一下。 点我下载题目 tcache介绍tcache是在libc2.6开始引入的一种加速堆分配的缓存结构,结构中存在64个链表。 ... 阅读全文 »