Wh4lter's blog

JarvisOJ-PWN0x00 XMAN-LEVEL0IDA-F5，稍微浏览一下就能到关键的vulnerable_function123456ssize_t vulnerable_function(){ char buf; // [rsp+0h] [rbp-80h] return read(0, &buf, 0x200uLL);} 很明显的一个栈溢出但是checksec一下会发现开了NX，就是说不能无脑的放一个shellcode跳回来执行，这时候就考虑一下有没有可以利用的函数再看一眼IDA 有一个callsystem函数，会执行system(‘/bin/sh’)现在就很明确了溢出，修改RIP，跳转到callsystem即可这里有一点要注意，payload并不是'A'*0x80+p64(RET_ADDRESS)，因为vulnerable_function这个函数返回时会调用read()1return read(0, &buf, 0x200uLL); 会先push当前函数的RBP入栈保存现场，之后才是开辟0x80个空间的buf所以会在buf的空间后面用8个字节保存vulnerable_function的$RBP因此实际的payload是'A'*0x88+p64(RET_ADDRESS) 阅读全文…

0x00这两天，看看基础教程，决定重新开始踏踏实实从头学。 0x01然后发现一个以前一直弄错的概念：ASLR!=PIE我以前一直以为Linux下PIE就是ASLR然后我发现Linux下也有ASLR然后有一个很严重的问题没办法解决:Kali里面的PIE我不知道怎么关 阅读全文…

0x00 关于php弱类型—MD5写这篇东西的原因，因为kiwiCTF遇到了两道关于php&==&MD5的WEB，至于为什么我还不学习PWN，无可奉告 0x01 kiwiCTF-MD5Games1 阅读全文…

发个文证明我还没凉透。。 document.querySelectorAll('.github-emoji') .forEach(el => { if (!el.d... 阅读全文…

0x00pwnable.kr-echo2FSB+UAF 0x01IDA—F5 阅读全文…

改用了个LightOne暂且先这样吧先熟悉一下操作~~ document.querySelectorAll('.github-emoji'... 阅读全文…