堇姬 Naup's Blog

2024-09-23 1k words 5 mins

Pwnable.tw-Dubblesort

Pwnable.tw-Dubblesort Author: 堇姬Naup libcglibc all in one 中沒有 2.23-0ubuntu5所以去網路上找libchttps://launchpad.net/ubuntu/xenial/i386/libc6/2.23-0ubuntu5 把i386載下來 1dpkg -X libc6_2.23-0ubuntu5_i386.deb . 在libs裡面就有ld跟libc了 patchelf直接patch上去 12patchelf --set-interpreter ld-2.23.so dubblesortpatchelf --replac

2024-09-23 3.5k words 19 mins

Pwnable.tw-Re-alloc

Pwnable.tw-Re-alloc Author: 堇姬Naup env他的版本是 Ubuntu GLIBC 2.29-0ubuntu2glibc all in one載下 libc跟ld 1./download_old 2.29-0ubuntu2_amd64 用 patchelf 來patch 123456patchelf --set-interpreter ld-2.29.so reallocpatchelf --replace-needed libc.so.6 ./libc-2.29.so reallocnaup@naup-virtual-machine:~/Desktop/pw

2024-09-21 4.7k words 27 mins

Pwnable.tw-secret garden

Pwnable.tw-Secret Garden Author libcglibc all in one 中沒有 2.23-0ubuntu5所以去網路上找libchttps://launchpad.net/ubuntu/xenial/amd64/libc6/2.23-0ubuntu5 把i386載下來 1dpkg -X libc6_2.23-0ubuntu5_amd64.deb . 在libs裡面就有ld跟libc了 patchelf直接patch上去 12patchelf --set-interpreter ld-2.23.so seethefilepatchelf --replace-n

2024-09-20 2.3k words 13 mins

Pwnable.tw-seethefile

Pwnable.tw-seethefile Author: 堇姬Naup libcglibc all in one 中沒有 2.23-0ubuntu5所以去網路上找libchttps://launchpad.net/ubuntu/xenial/i386/libc6/2.23-0ubuntu5 把i386載下來 1dpkg -X libc6_2.23-0ubuntu5_i386.deb . 在libs裡面就有ld跟libc了 patchelf直接patch上去 12patchelf --set-interpreter ld-2.23.so seethefilepatchelf --replac

2024-09-16 1.6k words 8 mins

Pwnable.tw-3x17

Pwnable.tw-3x17 Author: 堇姬Naup 分析一樣IDA開逆這題把debug symbol全部拔掉，我們先定位main在哪裡 start12345678910111213141516171819// positive sp value has been detected, the output may be wrong!void __fastcall __noreturn start(__int64 a1, __int64 a2, __int64 a3){ __int64 v3; // rax unsigned int v4; // esi __int64

2024-09-11 1.9k words 11 mins

Pwnable.tw-tcache tear

Pwnable.tw-tcache tear Author: 堇姬Naup analyze code先IDA逆一波，把函數重新命名 main123456789101112131415161718192021222324252627282930313233343536373839404142434445void __fastcall __noreturn main(__int64 a1, char **a2, char **a3){ __int64 choice; // rax unsigned int free_chunk_cnt; // [rsp+Ch] [rbp-4h]

2024-08-22 4.8k words 22 mins

Python-interpreter

Python interpreter Author: 堇姬Naup 定義先定義一下何謂python interpreter，就是用來解釋code object的 tiny interpreter首先要建立一個解釋器，需要給他一個指令集這邊先要求實現一件是，就是做加法需要有以下指令 LOAD_VALUE -> 載入數字至stack上、參數是要載入到stack上的數字 ADD_TWO_VALUES -> 將stack最上層跟最上層-1 pop然後相加，將結果放到stack上、無參數 PRINT_ANSWER -> 印出stack最上方層並pop掉、無參數先將要加的兩個數

2024-08-20 10 words 1 min

Pwn-heap note 2

會持續更新https://hackmd.io/@naup96321/ryDzdYbjA

2024-08-20 1.4k words 8 mins

Pwnable.tw-hacknote

pwnable.tw-hacknote Author: 堇姬Naup code analyzemain123456789101112131415161718192021222324252627282930313233343536373839404142434445void __cdecl __noreturn main(){ int v0; // eax int v1; // [esp-Ch] [ebp-24h] int v2; // [esp-8h] [ebp-20h] int v3; // [esp-4h] [ebp-1Ch] char v4[4]; // [esp+

2024-08-19 1.7k words 8 mins

AIS3 Junior 2024-command injection bypass master

AIS3 Junior 2024-command injection bypass master Author: 堇姬Naup 前言這次去AIS3 junior當了助教，也是我第一次當助教，這次跟vincent一起擔任A組的助教，本篇記錄了一些我們學員專題題目，我的解題及vincent的解題方法學員的專題這次A組的學員挑的專題是針對command injection加入了更多黑名單bypass的方法，他們出完很開心的拿來給我跟vincent玩，結果我們問他們有沒有官解他們說沒有www，不過這題是真的出的很好先看source code吧 main 123456789101112131415