0ctf_2018_heapstorm2
2026-04-28 2.8k 字 16 分钟

0ctf_2018_heapstorm2

0ctf_2018_heapstorm2Largebin attack + Unlink + off-by-null + overlap + 修改 hook 表 + mmap 总体分析整个程序整个程序包括 Allocate,Update,Delete 和 View 四个部分。在 main 函数的开头,先是调用 mallopt()函数关闭了 fastbin 的分配,然后调用了 mmap()在地址 0x13370000 处分配了一块 0x1000 大小的内存,用于保存堆块结构体。随后,在从 0x13370800 的内存中开始写入随机数,后面是两个异或函数,相当于加了层混淆。 这里构造了
nepctf-2021NULL_FXCK
2026-04-28 5.7k 字 30 分钟

nepctf-2021NULL_FXCK

nepctf-2021 NULL_FXCK 程序分析init12345678910111213141516171819202122232425262728293031323334unsigned __int64 sub_14D0(){ setvbuf(stdin, 0, 2, 0); setvbuf(stdout, 0, 2, 0); setvbuf(stderr, 0, 2, 0); qword_4260 = (__int64)calloc(1u, 0x10u) - 656; return sub_13F0();}unsigned __in
LCTF_2016Pwn200
2026-04-28 1.3k 字 8 分钟

LCTF_2016Pwn200

LCTF_2016 Pwn200lctf2016_pwn200 1234567891011121314151617181920int vuln(){ __int64 i; // [rsp+10h] [rbp-40h] char v2[48]; // [rsp+20h] [rbp-30h] BYREF puts("who are u?"); for ( i = 0; i <= 47; ++i ) { read(0, &v2[i], 1u); if ( v2[i] == 10 ) { v2[
libc-2.35
2026-04-28 20 字 1 分钟

libc-2.35

libc-2.35 更新: 2026-04-20 15:50:20原文: https://www.yuque.com/idcm/wnemg9/iyqxf8a2t1gatmfv
npuctf_2020_bad_guy
2026-04-28 2.3k 字 12 分钟

npuctf_2020_bad_guy

npuctf_2020_bad_guy前言:House Of Roman + _IO_2_1_stdout 泄露:解题方法只是在第一步利用了House of Roman 拿到stdout之后就是泄漏libc和fastbin_attack,最后就可以 getshell了。可以把 Roman 当做一种爆破的思路,但是不推荐整道题都通过爆破去攻击,毕竟爆破次数是 16 的指数级增长。 本题目由于找不到合适的 libc,虽然远程打通了,不过本地还是由于 libc 版本问题打不通。 123456789101112131415161718192021222324252627282930313233
de1ctf_2019_weapon
2026-04-28 1.8k 字 10 分钟

de1ctf_2019_weapon

de1ctf_2019_weapon依旧是一道 House Of Roman + _IO_2_1_stdout 的例题 函数分析main12345678910111213141516171819202122232425262728void __fastcall __noreturn main(int a1, char **a2, char **a3){ int v3; // [rsp+4h] [rbp-Ch] setvbuf(stdin, 0, 2, 0); setvbuf(stdout, 0, 2, 0); setvbuf(stderr, 0, 2, 0); whil
houseoforange_hitcon_2016
2026-04-28 2.7k 字 14 分钟

houseoforange_hitcon_2016

houseoforange_hitcon_2016 main1234567891011121314151617181920212223242526272829303132333435363738394041void __fastcall __noreturn main(const char *p_Invalid_choice, char **a2, char **a3){ int n2; // eax sub_1218(); while ( 1 ) { while ( 1 ) { menu(); n2 = atoi_(p_
HouseOfForce例题
2026-04-28 1.8k 字 10 分钟

HouseOfForce例题

House Of Force 例题gyctf_2020_force(House of Force&劫持 malloc_hook)参考资料:https://tamoly.github.io/2025/07/12/BUUCTF-PWN%E9%A2%98%E8%A7%A3/gyctf_2020_force(House%20of%20Force%E5%92%8Csystem(‘bin%20sh’))/,不得不说这道题坑了我好久,libc 必须使用 BUUCTF 本地的,自己的 libc 还打不通,幸好有这一篇博客,赞 需要注意的是house offorse 只在libc2.23中可
CTFHubHouseofEinherjar
2026-04-28 1.9k 字 11 分钟

CTFHubHouseofEinherjar

CTFHub House of Einherjar 程序分析:main12345678910111213141516171819202122232425262728293031323334353637int __fastcall __noreturn main(int argc, const char **argv, const char **envp){ int v3; // [rsp+24h] [rbp-Ch] BYREF unsigned __int64 v4; // [rsp+28h] [rbp-8h] v4 = __readfsqword(0x28u);
LitCTF2024heap-2.35
2026-04-28 3.1k 字 16 分钟

LitCTF2024heap-2.35

LitCTF2024 heap-2.35在 glibc 2.34 及以后的版本中,诸如 __free_hook 和 __malloc_hook 这类极易被劫持的全局函数指针被彻底移除了。因此,安全研究人员将目光转向了 FSOP (File Stream Oriented Programming)。你提供的这段 EXP 正是利用了 Large Bin Attack 结合 House of Apple 2 技术来实现任意代码执行的。 House of Apple 2 是一种基于 _IO_FILE 的利用链。它的终极目标是:在不劫持 vtable 指针(通常受到 CFI/vtable 检查