Loading...
上周末参加了奇安信和 Redbud 一起组织的 TQLCTF,pwn 题的质量挺高,都挺有意思的,我在比赛期间尝试做了 unbelievable_write,ezvm 和 trivm-string 三道题,做出两题。其中 unbelievable_write 是一个传统的堆题,free 掉 tcache_prethread_struct 然后 add 即可控制该结构体实现任意地址分配,分配到...
漏洞分析比赛的时候分析了很久这道题,结果也没做出来,现在想想主要 C++ 逆向不熟悉。在 new content 时,如果之前已经 new 过了,就会进 case1。 case 1u: // new content v17 = *(_QWORD *)v5; if ( *(_QWORD ...
这是一个在今年的 pwn2own 的比赛上披露的漏洞,可以通过 v8 引擎实现任意代码执行,前天看到腾讯玄武实验室推送了 two-birds-with-one-stone-an-introduction-to-v8-and-jit-exploitation 这篇文章,介绍了这个漏洞的成因。漏洞本身是 jit 引擎在选择机器指令时,对 x86 平台下有符号拓展和无符号拓展指令的选择有误造成的,...
昨天的 DragonCTF 中出现了一道改编自 DiceCTF 2021 flippidy 的题,原题是一道比较传统的堆题,此题进行了一个小 patch,想要执行原先的漏洞函数,需要满足 fs:0x28 也就是 canary 为 0。很遗憾,比赛的时候草草的看了一眼以为是有什么我不知道的黑魔法可以实现修改 canary 就放弃了,并没有看出漏洞点(说起来这个洞应该挺明显的,没看出来也是挺奇怪...
近期参加了一些比赛,积累了一些没做出来的题,个别题感觉本身也没啥意思,还有一些,由于各种原因,可能无法完全复现,这里简单记录一下思路。hello_jerryjerry pwn 碰到了许多次了,之前一直没有相关的 wp,再加上 js 解释器相关的 pwn 确实没接触过。这道题应该是比较入门的,相比起别的只给个 bin 的题,至少给了 patch,就是在 array 的 shift 方法执行后多...