Pwnable.tw-seethefile
2024-09-20 2.3k words 13 mins

Pwnable.tw-seethefile

Pwnable.tw-seethefile Author: 堇姬Naup libcglibc all in one 中沒有 2.23-0ubuntu5所以去網路上找libchttps://launchpad.net/ubuntu/xenial/i386/libc6/2.23-0ubuntu5 把i386載下來 1dpkg -X libc6_2.23-0ubuntu5_i386.deb . 在libs裡面就有ld跟libc了 patchelf直接patch上去 12patchelf --set-interpreter ld-2.23.so seethefilepatchelf --replac
Pwnable.tw-3x17
2024-09-16 1.6k words 8 mins

Pwnable.tw-3x17

Pwnable.tw-3x17 Author: 堇姬Naup 分析一樣IDA開逆這題把debug symbol全部拔掉,我們先定位main在哪裡 start12345678910111213141516171819// positive sp value has been detected, the output may be wrong!void __fastcall __noreturn start(__int64 a1, __int64 a2, __int64 a3){ __int64 v3; // rax unsigned int v4; // esi __int64
Pwnable.tw-tcache tear
2024-09-11 1.9k words 11 mins

Pwnable.tw-tcache tear

Pwnable.tw-tcache tear Author: 堇姬Naup analyze code先IDA逆一波,把函數重新命名 main123456789101112131415161718192021222324252627282930313233343536373839404142434445void __fastcall __noreturn main(__int64 a1, char **a2, char **a3){ __int64 choice; // rax unsigned int free_chunk_cnt; // [rsp+Ch] [rbp-4h]
Python-interpreter
2024-08-22 4.8k words 22 mins

Python-interpreter

Python interpreter Author: 堇姬Naup 定義先定義一下何謂python interpreter,就是用來解釋code object的 tiny interpreter首先要建立一個解釋器,需要給他一個指令集這邊先要求實現一件是,就是做加法需要有以下指令 LOAD_VALUE -> 載入數字至stack上、參數是要載入到stack上的數字 ADD_TWO_VALUES -> 將stack最上層跟最上層-1 pop然後相加,將結果放到stack上、無參數 PRINT_ANSWER -> 印出stack最上方層並pop掉、無參數 先將要加的兩個數
Pwn-heap note 2
2024-08-20 10 words 1 min

Pwn-heap note 2

會持續更新https://hackmd.io/@naup96321/ryDzdYbjA
Pwnable.tw-hacknote
2024-08-20 1.4k words 8 mins

Pwnable.tw-hacknote

pwnable.tw-hacknote Author: 堇姬Naup code analyzemain123456789101112131415161718192021222324252627282930313233343536373839404142434445void __cdecl __noreturn main(){ int v0; // eax int v1; // [esp-Ch] [ebp-24h] int v2; // [esp-8h] [ebp-20h] int v3; // [esp-4h] [ebp-1Ch] char v4[4]; // [esp+
AIS3 Junior 2024-command injection bypass master
2024-08-19 1.7k words 8 mins

AIS3 Junior 2024-command injection bypass master

AIS3 Junior 2024-command injection bypass master Author: 堇姬Naup 前言這次去AIS3 junior當了助教,也是我第一次當助教,這次跟vincent一起擔任A組的助教,本篇記錄了一些我們學員專題題目,我的解題及vincent的解題方法 學員的專題這次A組的學員挑的專題是針對command injection加入了更多黑名單bypass的方法,他們出完很開心的拿來給我跟vincent玩,結果我們問他們有沒有官解他們說沒有www,不過這題是真的出的很好 先看source code吧 main 123456789101112131415
Pwn-SROP
2024-08-12 1.1k words 5 mins

Pwn-SROP

Pwn-SROP Author: 堇姬Naup signal機制 kernel向process發起signal機制,Process暫時中斷,進入kernel 保存環境(簡單來說就是保存了各個暫存器的值,將所有東西壓入stack,並壓入signal相關訊息),這段記憶體被稱為Signal Frame 到signal handler處理 恢復環境 繼續執行process signal frame 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152str
Pwnable.tw-start
2024-08-06 527 words 2 mins

Pwnable.tw-start

Pwnable.tw-start Author: 堇姬Naup 題目123456789101112131415161718192021220x08048060 <+0>: push esp0x08048061 <+1>: push 0x804809d0x08048066 <+6>: xor eax,eax0x08048068 <+8>: xor ebx,ebx0x0804806a <+10>: xor ecx,ecx0x0804806c <+12>: xor edx,edx0x080480
AIS3 2024 - 專題研究成果
2024-08-05 1.3k words 6 mins

AIS3 2024 - 專題研究成果

AIS3 2024 - 專題研究成果 Author: 堇姬Naup 專題我是網頁、IoT及軟體安全的A2。這次是做IoT的漏洞專題,這次是研究Tenda router,研究的型號是AC10、AC15兩個型號,並且嘗試從CVE付現到挖出漏洞,雖然沒有拿最佳專題,但我也學到很多。以下是研究內容 AC10 CVE付現解firmware1binwalk -E US_AC10V1.0RTL_V15.03.06.23_multi_TD01.bin 看起來沒有加密 直接 1binwalk -e US_AC10V1.0RTL_V15.03.06.23_multi_TD01.bin 模擬 qemu-mip