pwn学习

pwn学习笔记（8）--初识Pwn沙箱

初识Pwn沙箱沙箱机制，英文sandbox，是计算机领域的虚拟技术，常见于安全方向。一般说来，我们会将不受信任的软件放在沙箱中运行，一旦该软件有恶意行为，则禁止该程序的进一步运行，不会对真实系统造成任何危害。安全计算模式seccomp（SecureComputingMode）在Linux2.6.10之后引入到kernel的特性，可用其实现一个沙箱环境。使用seccomp模式可以定义系统调用白名单和

晓幂·2024-09-10 00:07

pwn学习笔记（9）-中级ROP--ret2csu

pwn学习笔记（9）-中级ROP–ret2csu前置知识首先是64位文件的传参方式：前六个参数是从左到右放入寄存器：rdi、rsi、rdx、rcx、r8、r9，之后的通过栈传参。

晓幂·2024-09-10 00:07

pwn学习笔记（4）ret2libc

pwn学习笔记（4）静态链接：静态链接是由链接器在链接时将库的内容加入到可执行程序中的做法。链接器是一个独立程序，将一个或多个库或目标文件（先前由编译器或汇编器生成）链接到一块生成可执行程序。

晓幂·2024-02-20 22:22

pwn学习笔记（2）ret_2_text_or_shellcode

pwn学习笔记（2）1.三种常见的寄存器：ax寄存器：通用寄存器，可用于存放多种数据bp寄存器：存放的是栈帧的栈底地址sp寄存器：存放的是栈顶的地址2.栈帧与栈工作的简介：栈帧是存储函数的一些信息的地方

晓幂·2024-02-14 19:04

pwn学习笔记（3）ret2syscall

pwn学习笔记（3）ROP原理：ROP(ReturnOrientedProgramming)返回导向编程，主要思想是通过在程序中已有的小片段（gadgets）来改变某些寄存器或者变量的值，从而控制程序的执行流程

晓幂·2024-02-14 19:33

pwn学习笔记（1）

pwn学习笔记（1）（1）pwn简介：以下来自于百度百科：”Pwn”是一个黑客语法的俚语词，是指攻破设备或者系统发音类似“砰”，对黑客而言，这就是成功实施黑客攻击的声音——砰的一声，被“黑”的电脑或手机就被你操纵了

晓幂·2024-02-04 17:54

【PWN学习】cannary绕过方式汇总

背景利用cannary解题在现在的CTF比赛中似乎已经过时了，只是为了学习了解一下。绕过的4种方式目前我了解到的方式主要有以下4种forksspstack_chk_failTLScanaryattackfork每次进程重启后的Canary是不同的，但是同一个进程中的Canary都是一样的。并且通过fork函数创建的子进程的Canary也是相同的，因为fork函数会直接拷贝父进程的内存。爆破次数：对

weixinzjh·2023-12-23 14:14

pwn学习之ret2libc3——偏移计算初体验

拿到题目，先看看保护措施，再拖进ida分析：image.png源程序开启了堆栈不可执行保护，问题不大，看ida：image.pnggets函数高危函数，还是栈溢出的漏洞，下一步找system和/bin/shimage.png这题看着好像很麻烦，找不到system和/bin/sh的地址，于是先找到知道的东西先：先看看栈的大小先：image.png这里使用暴力法，扔一堆字符进去！看报错点再哪里，然后可

小白King·2023-12-23 10:28

【pwn学习】堆溢出（四）- off-by-one 漏洞

off-by-one漏洞前置学习【pwn学习】堆溢出（一）【pwn学习】堆溢出（二）-FirstFit【pwn学习】堆溢出（三）-Unlink和UAFoff-by-one是一种特殊的溢出漏洞，指只溢出一个字节的情况

Morphy_Amo·2023-11-17 04:48

linux 堆溢出 pwn 指南,新手科普 | CTF PWN堆溢出总结

学习汇总序言自从加入RTIS交流群,在7o8v师傅，gd大佬的帮助下，PWN学习之路进入加速度。下面是八周学习的总结，基本上是按照how2heap路线走的。

思考的葡萄·2023-10-29 11:27

kernel-pwn学习(1)--环境搭建

文章目录gdbpwndbgqemu虚拟机配置Ropperextract-vmlinuxun-cpiogen-cpio常见的kernel-exploit例子由于本来的deepin系统太卡了，就重新换了一个ubuntu20的系统，那就重新开始配环境吧，有些可能会和用户态的重复gdb这个系统自带就不说了pwndbg我个人比较喜欢用pwndbg,下面配置一下首先需要安装一下gitsudoaptinstal

azraelxuemo·2023-10-24 14:15

【pwn入门】用gdb调试32位程序

声明本文是B站你想有多PWN学习的笔记，包含一些视频外的扩展知识。

Jeff_Scott·2023-10-07 01:48

pwn学习（4）BUUCTF-ciscn_2019_n_1（浮点数转十六进制脚本积累）

checksec一下IDA打开，如果满足的条件达成，就可以getflag找到栈溢出漏洞，输入可以覆盖到v2将代码11.28125在内存中的十六进制表示出来，浮点数转十六进制代码如下：importstructdeffloat_to_hex(f):returnhex(struct.unpack('

术业有专攻，闻道有先后·2023-10-06 12:38

pwn学习（3）BUUCTF-rip（函数知识/缓冲区溢出）

下载文件，查看文件信息IDA64打开，发现危险函数gets(),可以判断存在栈溢出漏洞接着查看fun()函数，发现是system函数，system是C语言下的一个可以执行shell命令的函数接下来思路就清晰了，需要用gets函数获取一个长字符串覆盖rip来控制程序流到fun()函数函数的局部变量会存放在他的栈中，那么我们在main函数中，双击s变量，查看s分配了多少空间是十五个字节的空间，也就是在

术业有专攻，闻道有先后·2023-10-06 12:07

2023年-10月-第1周周报

完成事项这周主要就是在搞异构pwn学习了mips32，arm(32位)基础汇编，然后做了一些栈溢出的题目，对栈溢出的题目基本有了一个大致的了解未完成事项内核条件竞争house系列如何解决未完成事项加快进度下周待做事项

XiaozaYa·2023-10-04 07:00

【pwn入门】用gdb实现第1个pwn

声明本文是B站你想有多PWN学习的笔记，包含一些视频外的扩展知识。

Jeff_Scott·2023-10-03 22:52

pwn学习（2）test_your_nc

一.checksec检测文件的保护机制：从上图可以看出这是一个64位程序，开启了NX防护（堆栈不可执行）代码中:·Relro：FullRelro（重定位表只读）RelocationReadOnly，重定位表只读。重定位表即.got和.plt两个表。·Stack：NoCanaryfound（能栈溢出）·NX：NXenable（不可执行内存）Non-ExecutableMemory，不可执行内存。·P

术业有专攻，闻道有先后·2023-09-17 06:16

CTF-PWN学习-为缺少指导的同学而生

更新公告：2023-7-5晚上21：12已更新，对内容做了些调整。调整如下：添加解题步骤描述添加专业名词描述博主也是个PWN的入门者。PWN的入门不可能是无痛的。能做到的只是减少一点初学者的痛苦。这篇博客会长期维护，也会越来越好。PWN是什么CTF中PWN题型通常会直接给定一个已经编译好的二进制程序，然后参赛选手通过对二进制程序进行逆向分析和调试来找到利用漏洞，并编写利用代码发送playload，

予我心安A3·2023-09-03 14:28

pwn学习笔记之小技巧篇

1.怎么获取environ环境变量地址？关于environ的解释：http://tacxingxing.com/2017/12/16/environ/获取：image.png在peda下面还可以用vmmap来查看内存的情况image.png2.怎么获取libc里的read，write等函数的地址偏移？复制linux下依赖的libc.so.6文件到IDA里面，其中用ldd命令可以查看可执行文件的依赖

jessica1123·2023-08-24 10:36

简单的PWN学习-ret2shellcode

最近笔者开始钻研pwn的一些知识，发现栈溢出真的非常的有意思，于是经过一个多礼拜的学习，终于是把2016年的一道CTF题给看明白了了，首先我们学习一下前置技能0x01shellcode首先简单看一下shellcode是怎么生成的，首先简单看一下shellcode是怎么生成的，使用python3环境生成一个shellcode，如下所示frompwnimport*shellcode=shellcraf

vlan911·2023-08-08 21:40

Pwn学习

1.ret2text首先拖入KaLi中，checksec发现是一个32位elf文件，并且开启了NX,即为Noexecute(栈禁止执行)使用IDAPro打开发现vulnerable和get_shell函数，双击打开存在栈溢出漏洞，并且有直接的shell函数。使用gdb调试，在main函数下断点使用cyclic生成字符串可得知需要输入的数量为16+4（16+32位下的4位地址）POC如下frompw

Red-Leaves·2023-04-18 05:03

pwn学习之——初级任意地址写和进阶任意地址写！

最近看了一道题，write4的，里面有个很好的思路就是任意地址写：一起看看吧：image.png64位的，堆栈不可写保护，栈溢出漏洞，栈大小是：image.png32+8=40（覆盖了ebp的）找找system函数（plt）image.png找找“/bin/sh”,找不到哎：image.png这个不行哎，看来只能我们自己写/bin/sh了，这里介绍一种新技能！就是任意地址写：举个例子：其中r1是要

小白King·2023-04-05 13:20

【pwn学习】buuctf pwn题目（二）

下班了继续做level0先checksec一下很简单的道理就是vulner函数里面存在漏洞call到callsystem就好了就覆盖0x80个就好了算了之后这种简单题就直接给payload吧ciscn_2019_n_1这道题看了源码是逆向加pwn逆向完就很简单了就直接ret2libc因为是64所以需要找一下gadget直接贴代码吧#coding=utf8frompwnimport*fromLibc

ckj123·2023-03-25 05:12

【pwn学习】buuctf pwn题目（一）

test_you_nc进去看main里面就是sh所以nc就好ripchecksec一下发现是64位看一下代码没有任何过滤直接一个rop应该就行了有个fun函数直接就有sh了，就跳过去就好了payloadsystem_addr=0x0401186payload=flat('A'*15,0,system_addr)cn.sendline(payload)cn.interactive()奇怪的是syst

ckj123·2023-03-14 13:42

Pwn学习笔记

寄存器EAXEBXECXEDXEDIESIEBP指向系统栈最上面一个栈帧的底部。ESP保存当前Stack的地址汇编指令指令平台作用ucomissx86浮点比较ParagraphTextAndmoreshallcodechar*input=(char*)malloc(sizeof(char)*256);read(0,input,256);((void(*)())(input))();把字符串当函数执

有头发的琦玉·2022-12-23 15:34

PWN学习总结（不断完善中）（有道云笔记）

学习路线pwn一些概念理解王爽汇编学习笔记DOS-BOX及编译工具–百度网盘提取码:ajbalinux知识学习（CTF主要考察linux环境下的漏洞利用）—菜鸟教程nala包管理命令（个人感觉比apt好用）python知识学习（写exp用）----菜鸟教程gcc编译过程（了解一下）vim用法（好难，正在学）pacvim游戏ctf-wiki-pwn漏洞利用总结图刷题网站BUUCTFBUUCTF—li

tbsqigongzi·2022-11-15 14:34

[二进制漏洞]PWN学习之格式化字符串漏洞 Linux篇

[二进制漏洞]PWN学习之格式化字符串漏洞Linux篇格式化输出函数最开始学C语言的小伙伴们，肯定都很熟悉printf("Hello\n")，我们利用printf来输出字符串到控制台，当然我们也可以利用

VxerLee昵称已被使用·2022-06-24 22:00

【学习札记NO.00004】Linux Kernel Pwn学习笔记 I：一切开始之前

【学习札记NO.00004】LinuxKernelPwn学习笔记I：一切开始之前[GITHUBBLOGADDR](https://arttnba3.cn/2021/02/21/NOTE-0X02-LINUX-KERNEL-PWN-PART-I

arttnba3·2022-03-24 02:48

Kernel pwn 基础教程之 ret2usr 与 bypass_smep

一、前言在我们的pwn学习过程中，能够很明显的感觉到开发人员们为了阻止某些利用手段而增加的保护机制，往往这些保护机制又会引发出新的bypass技巧，像是我们非常熟悉的Shellcode与NX，NX与ROP

合天网安实验室·2022-03-17 10:00

pwn学习资源(持续更新...)

由于某种需要，开始接触二进制，做点笔记，以便查阅。学习思路：学习各种套路写有漏洞的程序->pwnCTF练习网站：http://pwnable.krhttps://pwnable.twhttps://www.jarvisoj.comhttps://github.com/ctfsWargamesROPEmporiumexploit-exercisesgoogle搜索：xxxctf、xxxwriteup

ch3ckr·2022-02-18 16:31

pwn学习之——花式栈溢出

第一步看看保护措施，确定方略，再看看ida里面有用信息：image.pngimage.png看到是栈的溢出漏洞，但是发现栈空间不够写指令，又发现题目创建了个堆给你，应该可以好好利用这个堆实现我们想要的功能，正常来说，当栈的空间不够用时是写入bss段的，这里正好可以用，就先用吧，接下来找有用信息：image.png看来没有system和/bin/sh，有些迷，看到还有一个文件libcpovit.so

小白King·2022-02-07 02:29

从o开始的pwn学习之超详细ret2dl_resolve

文章目录从o开始的pwn学习之超详细ret2dl_resolve前置知识需要用到的节_dll_runtime_resolve函数延迟绑定机制_dl_fixup()函数RELROFullRELRONORELROPartialRELRO_dll_runtime_resolve

金语·2021-05-01 01:01

pwn入门

圈圈9700·2021-04-18 10:18

pwn学习（一）

实战前的准备pwn在ctf中算是一个门槛较高的分支，而且这方面的资料也相对较少，所以学习pwn的人也是相对较少的。我本人呢，是一个菜鸟，本科不是计算机系的，学习这个完全是出于兴趣。写这些东西，一来是记录自己的学习状况，二来呢，就是希望给正准备踏上pwn这条路的朋友们，提供一点思路。废话不多说，开始进入正题：1.学习pwn所需要的基础知识：c语言汇编语言python操作系统的一些知识linux操作基

dmzlingyin·2021-03-10 21:39

某菜狗的pwn学习笔录（一）

pwn的堆学习笔记（一）看堆有段时间了，但是自己感觉还是不是很理解的，所以还是要多写笔记啊//外加督促自己不会半路咕咕咕233330x0堆是什么堆可以提供动态内存的分配，是程序虚拟地址空间的一块连续的线性区域，由低地址向高地址生长。堆在被释放后，一般不是直接返回操作系统，而是由堆管理器进行管理。而那些被释放的内存则可以用来响应新的请求malloc函数用来进行申请内存空间，其中malloc(size

子欢·2020-09-17 00:06

pwn学习系列--任务2

1.熟练掌握python字符串处理2.至少熟练掌握zio或pwntools其中一种库的用法这里只学习pwntools的用法，开始安装pwntools时真是崩溃了，刚装的ubuntu(yilianmengbi),后来在大佬的指导下终于成功安装。第一步，先更新源sudoapt-getupdate第二步，装pipsudoaptinstallpython-pip第三步，安装pwntoolssudopipi

Antoine Zhong·2020-09-14 21:38

pwn学习--64位绕过地址随机化

0x0164位与32位的区别在此篇文章之前，一直都讨论的是32位的情况，不过现在已经2020年了，64位程序逐渐成为主流。所以研究64位的程序也是非常必要的开始之前，我要先理清一个知识点：x86指的是cpu的架构，x64是cpu位数，我们通常用的x64的全称叫x86-64，也就是说x64是x86架构的64位cpu。而之所以用x86代表32位系统，是因为32位cpu占据了很长一段时间，所以习惯性的用

gclome·2020-09-11 16:38

linux kernel pwn学习之UAF

LinuxKernelUAF与用户态下的glibc差不多，都是对已经释放的空间未申请就直接使用，内核的UAF往往是出现在多线程多进程多文件的情况下。即，假如某个用户程序对用一个内核驱动文件打开了两次，有两个文件描述符，它们都指向了该驱动，又因为是在同一个程序里，所以当我们释放掉其中一个文件描述符后，还可以使用另一个文件描述符来操控驱动。为了加深理解，我们就以一题为例ciscn2017_babydr

haivk·2020-08-26 08:20

菜狗的pwn学习笔记（二）

pwn的堆学习笔记（二）–cgctfnote今天来做下学校平台的pwn的note。0x0攻击思路首先拖进ida，看到有puts("1.add");puts("2.show");puts("3.edit");puts("4.delete");puts("5.exit");printf("choice>>");很标准的note，edit可以在堆被释放后仍然可以做到使用这个堆，而free可以用来触发ua

子欢·2020-08-22 04:59

DASCTF2020-7月赛 pwn学习记录

DASCTF2020-7月赛虚假的签到题说实话有点被出题人恶心到了，主要还是自己太菜了。。。拿到题目直接ida打开，按f5一顿分析就这太简单了吧！先格式化字符串漏洞，后栈溢出，猜想肯定是先用格式化字符串泄漏canary，再利用栈溢出控制程序流，执行后门函数。查看保护机制嗯。。。没有canary保护，那这个格式化字符串漏洞是干嘛用的？然后直接栈溢出发现拿不到shell。这就很奇怪了？？？其实到这里就

棂星·2020-08-19 22:14

pwn学习之ret2libc

title:pwn学习之ret2libcdate:2020-01-2918:07:07tags:pwn学习在家无聊了的第二天，继续学习pwn的知识今天看了看wiki-ret2libc的内容，觉得受益匪浅

菜鸡滴滴~·2020-08-19 22:25

pwn学习之四

本来以为应该能出一两道ctf的pwn了，结果又被sctf打击了一波。bufoverflow_a做这题时libc和堆地址都泄露完成了，卡在了unsortedbinattack上，由于delete会清0变量导致无法写，一直没构造出unsortedbinattack，后面根据wp发现只要修改一下free的顺序就行了。这题的主要功能如下：正常的堆题模板，1是申请堆，2是删除堆，3是写刚申请的堆，4是输出刚

weixin_30312659·2020-08-19 20:43

linux kernel pwn学习之堆漏洞利用+bypass smap、smep

LinuxkernelHeapexploitLinux内核使用的是slab/slub分配器，与glibc下的ptmalloc有许多类似的地方。比如kfree后，原来的用户数据区的前8字节会有指向下一个空闲块的指针。如果用户请求的大小在空闲的堆块里有满足要求的，则直接取出。通过调试，可以发现，被释放的堆的数据域前8字节正好指向下一个空闲堆的数据域与glibc下的ptmalloc2不同的是，slab/

haivk·2020-08-19 19:33

pwn学习---ret2libc绕过地址随机化

前情回顾之前的实践中，当我们开启了栈不可执行，但是关闭了地址随机化，我们可以通过找到system“/bin/sh”的地址，然后利用溢出跳转到system“/bin/sh”的地址去执行，当然，这一切都基于关闭了地址随机化，使得system()函数在内存中的地址是不会变化的，并且libc.so中也包含“/bin/sh”这个字符串，这个字符串的地址也是固定的。那么问题来了。。。。。。如果我们想同时开启了

gclome·2020-08-19 19:15

pwn学习--LibcSearcher

以上一篇ret2libc绕过地址随机化的代码为例，一般在我们做题的时候没法查看libc的版本之类的，连上服务器后就是程序运行起来的情况，那这时候就需要新的知识来解决了LibcSearcher，可以通过它来找出偏移，此时依旧开启ASLRLibcSearcher安装：gitclonehttps://github.com/lieanu/LibcSearcher.gitcdLibcSearcherpyth