小强的博客

第一部分：关于heap spray首先在浏览器中（360、谷歌等）按F12，打开开发者模式：  在IE8+xpsp3中，打开1.html: var myvar = "CORELAN!"; alert("allocation done"); windbg附加进程，搜索字符串“CORELAN!”：查看字符串信息：通过以

虽然这个技术已经不能在新版本上使用了，但是还是有许多学习价值的。刚开始学，与大家分享一下，直说自己不是很明白的几个点，然后是参考的文章。实例代码如下：/* Heap overflow vulnerable program. */#include #include int main( int argc, char * argv[] ){

相关程序可以在这里下载：http://ctf.pediy.com/game-fight-34.htm我是在ubuntu16 64位调试的先说下知识点吧，简单的请参考我的上一篇文章：http://blog.csdn.net/qq_35519254/article/details/77532248现在unlink函数加了个判断需要绕过：即必须保证FD->bk = P

源代码下载及其他writeup参考：https://github.com/ctfs/write-ups-2016/tree/master/plaidctf-2016/pwnable/unix_time_formatter-76直接去print_time函数（自定义）查看：在system中执行command命令，command字符串通过snprin

先以这个最简单的例子举例：https://github.com/shellphish/how2heap/blob/master/house_of_orange.c编译生成ELF文件（64位）p1 =malloc(0x400-16);每次创建堆都是从top chunk上切割堆块，由于top chunk默认是0x21000，因为我们已经申请了0x400大小的堆，所以此时to

效果： 植物一炮就将僵尸打死思路： 通过CE定位僵尸被攻击时改写血量的代码地址，向上查找植物攻击力的地方并修改。下边是详细过程（以普通豌豆荚攻击普通僵尸为例）首先CE附加程序，当未攻击时，搜索未改变的数据，当攻击僵尸时，搜索减少的数据，如此重复，最终定位到僵尸的血量地址然后右键，什么地址改写了它，最后得到一个地址上边是通过CE定位

场景： 正常情况下僵尸是过一段时间出现几个，不会同时出现效果： 刚开始僵尸就一块出场，这样通过小滑车就能将他们全部杀死思路： 通过CE定位僵尸个数，然后看那个地址改写了它，在这个地址附近应该就有创建僵尸、冷却时间的函数了。下边是详细过程：首先CE附加程序，搜索场上僵尸的个数，当场上僵尸变化时，再搜索僵尸的个数（可能会有延时，所以确认后再搜索或者搜索一个加减一的范围）

场景： 正常情况下窗口失去焦点时就会暂停效果： 边玩游戏边干其他的 两不误思路：搜索暂停游戏关键字，查找字符串调用，分析附近代码。下边是详细过程：在IDA中搜索字符串暂停游戏，然后定位到代码处，如下：然后查看该函数的交叉参考：一共有两处，先分析第一处：再该处下断点，发现当窗口失去焦点时，没有断下，说明此处不是。

这个游戏很火的，是单机、射击类游戏的经典，网上下载地址很多。。。附个下载地址： http://www.downza.cn/soft/21790.html （我没试过，都差不多吧 ）运行游戏，CE附加进程因为血量肯定是一定范围内的值，所以初始就搜索1-1000的值，每次收到攻击时，就搜索减少的值，未收到攻击时，就搜索未改变的值，最后定位到一个地址，然后搜索什么改写了这个地址：

继续上次研究，先整理一下上次的研究，英雄最多有八颗星的血量，分别用0x5 0x19 0x2d 0x41 0x55 0x69 0x7d 0x91表示，比如如果英雄有8颗星的时候就顺序发送0x5 0x19 0x2d 0x41 0x55 0x69 0x7d 0x91这8个参数，有6颗星的时候就顺序发送0x5 0x19 0x2d 0x41 0x55 0x69这三个参数当有八颗星时，其实是来自5.0/0.6...

以前实现过无限血量，详见http://blog.csdn.net/qq_35519254/article/details/79292322，这次实现无限生命。正常情况下英雄只有三条命，如下图所示：CE附加进程，搜索3，当生命值没有变化时，继续搜索三，当生命值变成2时，搜索2，这样确定一个地址，然后搜索什么改写了改地址：（后来测试时，程序直接崩溃，我就改用ollgdbg附加进程，在CE搜到的地址处下...

通过以前的分析（http://blog.csdn.net/qq_35519254/article/details/79274739），要想实现无限血量，就要将0x0048C4C0 处的mov eax, [eax+0F4h]修改为mov eax,0x40a00000 其中0x40a00000是浮点数5.000的十六进制表示。该处修改对应的十六进制为：8B80F4000000 -->B800...

直接拿http://uaf.io/exploitation/2017/03/19/0ctf-Quals-2017-BabyHeap2017.html的完整exp分析吧这是0ctf 2017的一道pwn题。主要是两点，第一点是怎么泄露libc的基地址，第二点是怎么执行shell漏洞点：在fill函数中，IDA逆向分析如下：unsigned __in

先介绍lazy binding：代码如下：#include int main(){ char buf[100]; int size; read(0, &size, 4); read(0, buf, size); write(1, buf, size); return 0;}编译链接： gcc -fno-stack-prot

不管是x86还是x64系统，最好安装一下vcredit.exe并且注册，文件下载链接点击打开链接：x86系统，x64系统，并且注册之对于x86系统：   下载pykd.pyd、mona.py、windbglib.py文件，相关链接：https://github.com/corelan/windbglib/raw/master/pykd/pykd.zip、https://github.com

调试环境是ubuntu14 32位这次开启了DEP、ASLR（不知道libc.so情况下）还是参考了《一步一步学ROP之linux_x64篇》这篇文章。代码是1.c：#include #include #include void vulnerable_function() { char buf[128]; read(STDIN_FILENO, buf

调试环境是ubuntu16 64位这次开启了DEP、ASLR（知道libc.so情况下）还是参考了《一步一步学ROP之linux_x64篇》这篇文章。代码是1.c：#include #include #include void vulnerable_function() { char buf[128]; read(STDIN_FILENO, bu

调试环境是ubuntu14 32位代码是1.c：#include #include #include void vulnerable_function() { char buf[128]; read(STDIN_FILENO, buf, 256);}int main(int argc, char** argv) { vulnerable_function(); write(STDO

这个漏洞是整数溢出漏洞，漏洞环境为win7+IE8 ,调试工具为windbg，静态分析工具为IDA。主要参考《漏洞战争》相关介绍，实际分析了一下。首先启动页堆。打开IE8，windbg附加进程，然后IE打开poc文件。poc.html文件如下： function Start() {localxmlid1 = document.getElementById

我的调试环境是win7旗舰版32位+wmpalyer+windbg+IDA。poc见: https://www.exploit-db.com/exploits/15112/wmpalyer设置页堆：C:\Program Files\Debugging Tools for Windows (x86)>gflags.exe -i wmplayer.exe +hpa +htcCu

调试环境是ubuntu14 32位这次开启了DEP，关闭了ASLR代码是1.c：#include #include #include void vulnerable_function() { char buf[128]; read(STDIN_FILENO, buf, 256);}int main(int argc, char** argv) { vulner

调试环境是ubuntu14 32位这次开启了DEP、ASLR，在linux x86溢出，知道libc.so文件的情况下代码是1.c：#include #include #include void vulnerable_function() { char buf[128]; read(STDIN_FILENO, buf, 256);}int main(i

实例代码如下：#include #include #include int main(int argc, char *argv[]){ char *buf1, *buf2, *buf3; if (argc != 4) return; buf1 = malloc(256); strcpy(buf1, argv[1]); buf2 = malloc(strtoul(argv[2]

这是一道CTF题，涉及到The House of Force技术文件及writeup可以在http://uaf.io/exploitation/2016/03/20/BCTF-bcloud.html 下载，另外还有http://www.freebuf.com/news/topnews/100143.html、https://github.com/ctfs/write-ups-2016/tr

这道题是hctf2016年“就是干”那道题。附件有下载地址及writeup。我就是分析一下：首先IDA分析一下：新建两个结构体00000000 str_struct struc ; (sizeof=0x20)00000000 str dq ?00000008 str_padding dq ?00000010 size

主要参考https://paper.seebug.org/450/ （CTF PWN 题之 setbuf 的利用） 这篇文章，写的比较随意，就是整理一下思路：首先看漏洞点v3是用户输入的，可以控制，而且基本上没有限制，只要输入小于等于2就行，再看off_804B048处：程序的本意是想让我们调用no xor re这三四个函数，但是由于没有限制输入的数据，导致可以输入负数调用上边的setbuf ...