今年校赛有点可惜,最后两道质量不错的pwn每做出来,总的来说还是我太菜了,希望下次校赛能AK pwn题.不过这次校赛也没有白打,还是有学到新的东西的.在这里感谢出题的学长. glibc-2.29以后unsortbin attack不能用了,不过可以通过把多余的chunk移入tcache实现.下面从源码分析一下具体原理.注意:接下来分析的源码版本都是glibc-2.31的. 直接看smallbin部分 if (in_smallbin_range (nb)) { idx = smallbin_ind…

摆烂很长时间之后,终于下定决心来看点新的东西.正好 winmt 师傅前不久把他 pig 修好的附件发给我了,我就借此来学习一下新版本的 IO_FILE 及 house of pig. 新版本的 IO_FILE 利用的函数是老版本中喜欢用的 _IO_str_overflow,我们来看一下 glibc 2.29 下的_IO_str_overflow 的源码 int _IO_str_overflow (FILE *fp, int c) { int flush_only = c == EOF; size…

babyshellcode 这题考无write泄露,write被沙盒禁用时,可以考虑延时盲注的方式获得flag,此exp可作为此类型题目模版,只需要修改部分参数即可,详细见注释 from pwn import * from pwn import p64,u64,p32,u32,p8 from pwnlib import timeout context.arch = 'amd64' # context.log_level = 'debug' context.terminal = ['tmux','…

http://www.ush.it/2009/07/26/php-filesystem-attack-vectors-take-two/ Did you enjoyed our previous "PHP filesystem attack vectors" research? This is the second part and continuation of that paper and highlight new ways to evade filters using some…

从这个议题学到挺多,攻击手法的串联. 1.mysql Client Attack 这个攻击手法去年就爆出来了,本质就是mysql协议问题,在5步篡改读取客户端内容,导致任意文件读取,如下图所示. 修改端口3307,读取hosts文件 navicat客户端连接mysql服务器,读取到客户端的hosts文件 受影响的客户端有: 云厂商: 攻击思路做一个mysql服务器蜜罐,读取那些扫描器的敏感文件. 第二个思路结合一些cms客户端后台连接mysql服务器的功能读取敏感文件,除了敏感文件,可以结合ph…

Unlink 本文参考了CTF-wiki 和glibc 源码 原理: 我们在利用 unlink 所造成的漏洞时,其实就是借助 unlink 操作来达成修改指针的效果. 我们先来简单回顾一下 unlink 的目的与过程,其目的是把一个双向链表中的空闲块拿出来,然后和前后物理相邻的 free chunk 进行合并.其基本的过程如下 类似于我们学数据结构时学的从双向链表中删除一个节点的操作. 古老的 unlink 在最初 unlink 实现的时候,其实是没有对双向链表检查的,也就是说,没有以下的代码…

Linux堆溢出漏洞利用之unlink 作者:走位@阿里聚安全 0 前言 之前我们深入了解了glibc malloc的运行机制(文章链接请看文末▼),下面就让我们开始真正的堆溢出漏洞利用学习吧.说实话,写这类文章,我是比较怂的,因为我当前从事的工作跟漏洞挖掘完全无关,学习这部分知识也纯粹是个人爱好,于周末无聊时打发下时间,甚至我最初的目标也仅仅是能快速看懂.复现各种漏洞利用POC而已…鉴于此,后续的文章大致会由两种内容构成:1)各种相关文章的总结,再提炼:2)某些好文章的翻译及拓展.本文两者皆有…

今天看到nginx用文件锁实现互斥的实现方案时,发现,unlink文件后还可需用fd,很是纳闷!于是搜索到此文,并自测了下,涨姿势了~分享给大家~ 原理: 每一个文件,都可以通过一个struct stat的结构体来获得文件信息,其中一个成员st_nlink代表文件的链接数.      当通过shell的touch命令或者在程序中open一个带有O_CREAT的不存在的文件时,文件的链接数为1. 通常open一个已存在的文件不会影响文件的链接数.open的作用只是使调用进程与文件之间建立一种访问关…

这一阵花了些时间,把 cocos2d-html5 里的sample 游戏<Fruit Attack>给移植到了WP8上来,目前已经实现了基本的功能,但是还有几个已知的bug,比如WP8只支持WAV格式 的音乐,而我没有去转格式, 所以无法播放声音: 提示手势的显示位置有问题:源代码的执行效率过低等,但是对于初级的学习应该还是有一定参考意义的,我也加入了自己的一部分注释. 应该说移植的过程还是比较顺利的,毕竟API都是兼容的.但是因为原游戏并不是多分辨率适配的,图片等资源都不是太合适,再加上缺乏…

https://www.owasp.org/images/0/04/Roberto_Suggi_Liverani_OWASPNZDAY2010-Defending_against_application_DoS.pdf slowloris http://www.huffingtonpost.co.uk/-frontier/slow-loris_b_8541930.html 蜂猴 懒猴 slow:    adj. 1.慢的,缓慢的 (opp. fast; qu ... loris:    n. (…