堇姬 Naup's Blog

2024-07-08 1.8k words 9 mins

Pwn-Fastbin-Dup-1(Glibc 2.23)

Pwn-Fastbin Dup 1(Glibc 2.23) Author: 堇姬Naup source code123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117

2024-07-07 280 words 1 min

Pwnable.tw-orw

pwnable.tw-orwchecksec啥都沒開(Canary實際上沒開)，stack也可以執行分析給一個shellcode，然後會幫你執行，不過有seccomp，要ORW。 syscall tablehttps://chromium.googlesource.com/chromiumos/docs/+/master/constants/syscalls.md#x86-32_bit syscallsys_open 暫存器值 eax 0x5 ebx filename位置的address ecx 0 edx 0 sys_read 暫存器值

2024-06-30 9.3k words 53 mins

AIS3-pre-exam-2024-Writeup

AIS3 pre exam 2024 - writeup Author:堇姬Naup Rank 4th MiscWelcomectrl+c ctrl+v AIS3{Welc0me_to_AIS3_PreExam_2o24!} Three Dimensional Secret看封包然後這個看起來很像3D GCode，直接用線上工具化出來 AIS3{b4d1y_tun3d_PriN73r} Quantum Nim Heist 這題我其實不知道怎麼做的，就亂按，choose那邊在第一次後，如果你不輸入任何東西，或是0 1 2也可以過(回去看了source code發現那邊少寫了

2024-06-24 681 words 3 mins

Fixed Size Migration

Fixed Size Migration Author: 堇姬Naup Why 不能控制輸入長度時，就只能使用原本main function read 來多次輸入 ROP chain假設現在空間只夠輸入一個gadget1payload (2*8 bytes) + rbp + return address(8bytes) 觀察一下會發現 main_read 其實會將輸入存到 rbp-0x10，可以利用這個特性來寫入 ROP chain123readleaveret leave 12mov rsp rbppop rbp 原理1234空間(8bytes)空間(8bytes)old rbpre

2024-06-22 1.7k words 9 mins

cryptoCTF2024-Writeup

CryptoCTF 2024 Author:堇姬 Rank: 29th Warm-up 🤑Welcome! 👋Crtl+cCrtl+v CCTF{Harn3sS_Y0ur_CrYptO9rAphy_Pr0wEs5_💪_⚡_💥_🔥!} Easy 😁Alibossource code123456789101112131415161718192021222324252627282930from Crypto.Util.number import *from gmpy2 import *from secret import d, flagget_context().precisi

2024-06-14 16 words 1 min

CryptoHack-ECC

CryptoHack ECC先看這裡，之後再整理 https://hackmd.io/@naup96321/rkV3ELFRT

2024-05-21 805 words 3 mins

Stack-Migration

Stack migration(pivoting) Author: 堇姬Naup 概念可輸入的 ROPchain 長度不夠時，可以擴展輸入的方法，將 ROPchain 分好幾次寫在指定的區域，最後再將 stack 移動過去執行如果找到其他地方有足夠空間放ROP，就可以用較少的gadget數，來將stack搬移至ROP位置，進行ROP leave實際上做了兩件事 12mov rsp, rbppop rbp 方法leave;ret 透過overflow將rbp填成ROP Chain開始位置address-8 return address填入leave;ret 的gadget 有一塊

2024-05-17 787 words 4 mins

ROP-EZROP(b33f adv_pwn)

ROP-EZROP(b33f adv_pwn) Author:堇姬確認保護開NX沒辦法寫shellcode，另外他開了canary，但其實沒開(沒有check canary的判斷式) 如果有開會有這個 source coderead的buffer overflow一樣給好給滿 12345678910#include <stdio.h>int main(){ char buf[0x40]; setvbuf(stdin,0,_IONBF,0); setvbuf(stdout,0,_IONBF,0); printf("

2024-05-05 1.8k words 8 mins

THJCC-official-Writeup

THJCC CTF official writeup Author:堇姬Naup Source Code : https://github.com/Naupjjin/THJCC-CTF-source-code CryptoJPG^PNG=?source1234567891011121314from itertools import cycledef xor(a, b): return [i^j for i, j in zip(a, cycle(b))]KEY= open("key.png", "rb").read()FLAG = ope

2024-04-27 2.6k words 14 mins

Intigriti-August-XSS-challenge

Intigriti’s August XSS challenge Author:堇姬Naup 題目https://challenge-0823.intigriti.io/有一個計算機可以輸入東西，只要有執行alert(document.domain)就可以過了 Source code1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283