卡住了…更新中…rt-thread的main函数栈溢出，不用getshell，ROP/shellcode读出根目录下的flag即可：

本次IoT闯关赛为西湖论剑的其中一个赛项，由安恒的海特实验室出题，时长8小时，采用定制硬件为解题平台，玩法新颖，题目底座为linux5.4.75:libc2.30:armv5。但考察点偏CTF风格，与IoT安全实战尚有一定距离，最终赛况如下：

Realworld赛题，要求挖掘并利用CISCO RV110W-E-CN-K9（固件版本1.2.2.5）中的漏洞，获取路由器的Root Shell。攻击演示时的目标设备端口只开启了443端口的https服务，且不知道路由器的Web登录账号，故其实要求就是路由器Web的前台getshell。

shellcode级别

以HWS夏令营的两道题目入门MIPS Pwn，都是栈溢出，但栈地址是否已知这个利用前提不同，故利用方式有也所不同。

附件：easy_vm

HWS夏令营的课程分为三个部分，IoT固件安全，linux内核安全、IoT硬件安全。GDB作为一个出色的调试工具，也在三个部分的课程中频频登场，说哪都有他一点也不过分。三个部分中，我们用GDB依次调试了：arm,mips等与本机x86（x64）不同架构的linux用户态应用程序、x86（x64）的linux内核、STM32裸机程序。前两者目标的运行方法是qemu，后者是用的STM32单板以及JLINK仿真器。

题面非常简单，scanf格串参数可控。但无任何输出函数，无法泄露libc，不过程序syscall指令。利用方法：scanf格串构造任意地址写，写stack_chk_fail的GOT表，然后继续利用scanf栈溢出触发canary报警，控制流劫持，但是只找到两个能利用rdi和rsi的gadget，无法直接控制rax和rdx。最后在程序中找到一段gadget(0x4011DE)能间接控制rax和rdx，不过需要劫持rbp才能满足这段约束的条件。总之最后一顿ROP到syscall上即可execve(“/bin/sh”,0,0)。

更新中…

更新中… 一句话描述漏洞：对USB请求处理不当造成的UAF漏洞。淘宝卖了一个二手iPhone6，决定研究一下checkm8这个漏洞。checkra1n虽然可以越狱iPhone6，但是ipwndfu不支持iPhone6，于是我又买了一个iPhone7。

本文是写给只会Linux Pwn，而对Windows Pwn一窍不通的朋友，对照Linux Pwn的工具、原理、方法，讲解Windows下对应的内容。通过本文可以了解到：1.一种在Win下搭建Pwn题环境的方法（socat+pwntools+IDA） 2. Windows用户态进程运行的基本原理与一些实用工具 3.Windows堆管理的基本方法。本题的漏洞点是存在悬空指针可以UAF，而且对于该悬空指针可以继续show、edit、free。利用方式为通过UAFleak堆地址，然后通过unlink完成堆上的节点索引的改写进而继续leak出程序基址，进而继续改写堆上的索引节点leak出ucrt的基址，最后继续修改索引节点的函数指针为system并控制参数为cmd即可getshell。

本文通过SCTF2020的STM32门锁固件题目，介绍了STM32的正向开发方法，逆向分析方法，以及IDA在分析固件的时候一些使用技巧。最终，通过静态分析以及动态模拟调试的方法分别获得 flag1：门锁密码 以及 flag2：UART输出的信息 。

本题官方分类是杂项，题目情景来自于一个实际的android投屏软件，出题者给出的解题目标非常明确，解析数据包中的视频流即可看到flag。这种杂项题目就非常的友好，实际软件、目标明确、思路清晰，并且自己在本题也收获了一些视频方面相关知识，故做此记录。解题方法概括为：1. 识别：识别投屏软件以及软件采用的视频技术。 2. 提取：从数据包中提取出原始的视频流信息。 3. 恢复：将视频流封装成文件并播放。

前一阵给媳妇买了个树莓派4B，教程里使用wiringPi这个c库对GPIO口进行控制。但是说到底硬件接口肯定是需要通过操作系统进行控制的，wiringPi这个库到底是怎么跟操作系统打交道的呢？换句话说，操作系统提供了什么样的接口让用户程序来控制硬件？操作系统又是怎样真正的完成了一次硬件的控制呢？答案是：树莓派上的Linux通过对映射到硬件寄存器的内存地址读写来真正的控制硬件，提供的接口为GPIO设备文件。不过root用户可以通过/dev/mem这个文件，来直接控制物理内存，从而绕过GPIO设备文件，对GPIO进行控制。这就是wiringPi这个库的原理，有些黑客。

本实验来自清华大学张超老师的《数据安全》课程中侧信道攻击小节作业，内容为：给定一个存在Meltdown漏洞的CPU并且安装了老版本linux系统的低权限用户，进行读取目标驱动的内存中的flag字符串，其中目标驱动的源码给出，真正flag的在源码中被隐去。作业环境为学生使用低权限用户通过ssh登录到一台机器上，然后对目标驱动的设备节点进行攻击，因为ssh环境终究会关闭，而且有驱动源码，所以决定自己动手复现一遍这个环境并完成攻击实验，首先是想了解一下Meltdown漏洞，不过重点也是想入门一下linux驱动。最终参考SEEDLabs的实验文档，使用自己的笔记本电脑，CPU为Intel(R) Core(TM) i9-8950HK CPU @ 2.90GHz，通过在vmware中安装了官方原版ubuntu12.04完成了实验。并且在过程中读完了宋宝华老师的《Linux设备驱动开发详解》前半本，以及左耳朵耗子的《跟我一起写Makefile》。

三道题的题目附件：5space_attachment.zip

漏洞点为索引没有过滤负数以及堆溢出。利用方法为首先通过负数索引泄露libc，然后构造堆溢出到tcache的fd为__malloc_hook的地址，再触发两次对应大小的malloc即可实现任意地址写，写入one_gadget即可。另外题目环境为libc2.29，本文还使用了ld-2.29.so直接加载题目的方式，介绍了在任意版本的ubuntu下做任意libc版本Pwn题的方法。

Rockwell/AB PLC 的ENIP协议经过简单的构造session即可实现正常通信，通过抓取组态软件和PLC通信的数据包，找出读取架子信息的流量，构造遍历架子序号，即可泄露机架上的模块信息。

漏洞点为一个整数溢出和一个堆溢出，其中整数溢出可以转化为另一个堆溢出。本题利用方法为利用原生的堆溢出漏洞，可以覆盖一个存在间接跳转的二级指针，因为没有开启NX，所以结合堆喷即可getshell。虽然堆喷解法的exp很简单，但本题的逆向却是是很耗时的。

这是一道堆喷思想和堆风水思想结合的题目，漏洞点是堆上变量初始化。利用方式和本题代码强相关，通过堆喷思想控制堆上的未初始化的变量，然后综合利用堆风水和堆喷泄露出堆块的布局信息以及libc基址，然后在利用堆喷思想劫持控制流并完成栈迁移到堆上，最后进行ROP即可getshell。

三菱系列PLC，Melsoft私有协议，但如果没有配置口令，则可以直接进行重放攻击，通过wireshark抓取组态软件与PLC的通信报文即可获得控制PLC的数据包，重放即可。

多亏mcfx指导，才能做出这题，感谢。64位程序，保护全开，可以执行我们发送的c代码，但可以执行的代码有些限制，不能执行system之类的函数，但可以任意写内存。最终通过利用栈上的数据，获得了libc的基址，完成了对__malloc_hook的劫持，进而getshell。

漏洞点是：使用C++中的STL中vector存储对象的指针时，在earse清除其中元素时，总会调用最后一个对象的析构函数，最终导致存在悬空指针，并且可以被使用，即UAF。其使用的方式是可以继续free以及show其内容。

本题前面是Web，SQL注入注出管理员的密码，然后能任意读取文件，发现php使用了一个自定义的函数，读取到这个函数的实现的动态链接库，去除花指令后发现有个栈溢出，但是在利用的过程中需要注意栈的使用情况。

大学的时候第一次接触到我的世界，觉得是个很自由浪漫的游戏，可以在游戏里天马行空的创造，当时也是因为这个游戏第一次要指定JAVA路径，听到了什么JDK、JRE的相关名词。最近和家人一起在玩这个游戏，正巧前几天的比赛里也出了游戏相关的题目，而且在CTF中出现MC也不是第一次了，所以借着这个机会玩一下游戏，也研究研究的运行原理，整理下我知道的方方面面。

题目文件：fengshui

解决了在arm架构的32位linux下，由于链接器不同，动态库不全导致的IDA的调试server无法运行的问题。后来发现这种方法调试多进程时IDAserver会崩溃，应该是libthread_db.so.1与环境不兼容。另外其实有更简单的方法，直接在运行时设置环境变量，然后用本地的ld运行，ELF为参数即可： LD_PRELOAD=./libthread_db.so.1 /lib/ld-2.25.so ./armlinux_server

每次看QEMU启动有一堆参数，很是害怕，所以抽出空来彻底整理一下见过的QEMU用法，从使用者的角度对QEMU做一个梳理。

题目地址：https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=1&id=4713&page=2

本题总结点较多，之后总结

漏洞点是：存在一个位于bss段的变量输入溢出，溢出后可以覆盖一个IO_FILE结构体的指针。

我猜这么诡异的动作，应该是墙，然后用iptables尝试复现了劫持的情景

漏洞点是：存在悬空指针，并且可以被使用，即UAF。其使用的方式是可以继续free。

在使用gcc编译时，如果采用带-g选项编译，即可在二进制文件中附加调试信息以便gdb进行源码级别的调试。如果二进制中存在调试信息并且源码文件存在，则可以使用gdb的list命令来查看源码。通过在ubuntu中安装带调试信息的libc，并下载libc源码，即可配置gdb跟入libc的库函数后进行源码级别的调试

计算机最讲道理。凭啥计算机知道加载地址，而我不知道？答：裸机程序中不必要包含自己的加载地址，如果没有加载地址，就无法对绝对地址的引用有正确的解析。所以分析的固件如果是裸机层面的代码，就需要知道其加载地址。

出了一个攻击真机的题目：利用ssh的端口转发以及一台公网服务器，将apk绑定本地的对应端口映射到公网上。漏洞点为app中的Runtime.getRuntime().exec的参数拼接，利用方式为：使用其本身执行的wget程序的--post-file参数将保存在应用私有目录下的flag带出。最终解出本题的队伍个数为33，前三名为0ops，天枢，NU1L。

漏洞点是：存在悬空指针，并且可以被使用，即UAF。其使用的方式是可以继续free。

本文讨论的第一条指令的概念是存储于CPU外部的指令，因为真正意义上的第一条指令应当位于CPU内部。这个问题其实看intel的CPU手册就知道了！

这其实是个不明确的问题，问题的主语应该具体到每一颗不同型号的CPU上，而非一类架构的CPU集合。

漏洞点是：本题预留了一个彩蛋，触发后可将一块栈内存的地址记录到堆上，并且可通过一些函数的输入控制这块栈内存。

本意是参考https://ctf-wiki.github.io/ctf-wiki/pwn/linux/arm/arm_rop-zh学习ARM相关的漏洞以及利用，却在搭建环境的问题上弄了好久，不明白QEMU启动一堆镜像都是啥，所以采用暴力的方式直接在ARM机器上学习，采用了树莓派，还有装了Termux的android手机直接gdb本地调试，安装zio本地利用。例题：jarvisOJ_typo

官网：https://termux.com/

https://overthewire.org/wargames/

本题可以申请任意大小的堆块，并且在删除时未清空指针数组导致悬空指针，从而产生UAF。利用方式为通过UAF调用一个存在于堆块，并且被一系列堆操作篡改的函数指针，控制流劫持进而getshell。

本题可以申请任意大小的堆块，并且在删除时未清空指针数组导致悬空指针，从而产生UAF。利用方式为通过FastbinAttack的DoubleFree的实现有限制的目标地址写，将GOT表项改写为后门函数。

漏洞点是：因一个逻辑漏洞引发的栈上数组越界读写

方校长说：工控系统不是多安全，而是常人很少接触到

折腾了三个晚上终于搞定了

本题源自2019年36C3 CTF，对基于Speck的hash算法找原像或第二原像，解法是中间相遇（Meet-In-The-Middle)

本题源自2019年36C3 CTF，解法是由strncat函数的SSE优化产生的bug导致的栈溢出

本文写于2019.12.21，LLVM9.0版本编译相关

阅读文章：

在逆向MIPS指令集的软件时，如果想看反汇编到C代码的结果，现在基本有如下三种选择：

收集各种sploit框架：

一次比赛中通过某漏洞getshell后，需要触发硬件上的一些响应，但是并没有找到可以直接控制硬件的对应命令，所以只能逆向能实现控制硬件的程序，进而编写对应功能代码，上传恶意程序进行操控。

学习线性分析法的起因是密码学课程的一次论文阅读的大作业，题目如下：

本题来自于：2019年工业信息安全技能大赛个人线上赛，第二场第一题，破解加密数据，题目如下，即解密密文109930883401687215730636522935643539707对应的明文数据

比赛遇到了S7-200smart的脚本控制，由于型号比较老，流量没有什么认证和加密，直接用wireshark抓到正常通信的包，然后重放即可，目前功能有：

在全国第五届工控系统信息安全攻防竞赛中遇到了这么一个情景：

安全研究

冬令营听了两遍DirtyCow还是不太懂，这次决定借着学习条件竞争的机会搞懂这个很出名的漏洞。首先介绍一下DirtyCow，其CVE编号：CVE-2016-5195。Linux内核的内存子系统在处理写入时复制（copy-on-write, COW）时产生了竞争条件（race condition）。恶意用户可利用此漏洞，来获取高权限，对只读内存映射进行写访问。影响版本2.6.22到4.8.3, 4.7.9, 4.4.26之前。首先介绍一下条件竞争：

最近在逆向一个通信协议的实现，具体来说这个协议实现代码在一个windows软件的动态链接库中，该协议的通信过程中加入了随机数以防止重放攻击，我需要逆向找到该协议是如何对随机数进行一系列的计算，从而完成重放攻击。历时四个月终于完成，第一次搞win下逆向就是这么硬核的工作，着实让我费尽心思，更不知道熬了多少个大夜。不过在整个过程中的确学的非常多的知识，但因为并不能公开是何种协议，所以只能抽出整个过程中学到的逆向技巧进行分享。

看了许多网上超多的关于S盒生成的文章，感觉没几个能说明白这个东西怎么算的，最后终于找到一篇文章：

手写了一遍AES加密，虽然是参考网友的（基本一毛一样），但还是在写的过程中有所收获。不过还是没弄明白s盒的计算方法，即在有限域上求乘法逆，那个扩展欧几里得实在是看不明白。能力太差，以下实现只是能做学习AES原理用，解题或者平时计算还是用高级语言中对应的算法库。

32位题目地址：nc 202.112.51.157 9001
64位题目地址：nc 202.112.51.157 9002

题目地址：nc grjt.game.redbud.info 20003

题目地址：nc warmup.game.redbud.info 20002

题目地址：http://47.93.12.191:7002

重合指数

题目

留坑

一直对符号和符号表不是很了解，这次彻底搞懂这玩意，在《程序员的自我修养》3.4和7.5章节介绍了关于符号表的相关知识。符号，这俩中文字放一起，有以下几种意思:

题目地址：https://pwnable.tw/challenge/#32

题目地址：https://pwnable.tw/challenge/#2

题目地址：https://pwnable.tw/challenge/#1

为什么这么麻烦？

前几天看一个朋友的动态调试窗口非常酷炫，大概这样：

情景

查看elf依赖的so

你是一名企业工程师，在供热期中，操作员发现工程系统管理员:flag的密码忘记了，请你通过工程文件找出系统管理员的密码。

工程师的笔记本上发现了恶意软件，经排查是一款著名针对工业领域的病毒，溯源分析远控样本文件，确认远程C&C连接地址

在对电力行业某二次设备进行渗透测试时，通过弱口令telnet服务获取了设备的权限，并提取出了设备固件文件，现在需要从固件中分析出其他默认硬编码密码或厂家后门口令。

因为要搞IOT和工控的研究，想从底层研究一下硬件，但一直对电路板这个绿莹莹的东西很害怕。前几天在DEFCON CHINA现场玩了个焊小时钟，觉得焊接还挺好玩的，回家的路上正巧看到迅维论坛的人发朋友圈，有个手机维修培训班，一拍脑门我就来了。说起知道这个论坛还是有点故事的，去年我电脑坏了，macbook pro 2013，开机突然白屏问号，怎么也进不去系统，网上翻了半天，找到了以篇帖子MACBOOK PRO不认硬盘 通病，要花两块钱注册会员，帖子两毛钱，总共两块二，花钱解锁后内容如下：

最近在尝试root一个设备，Android 5.1.1，遇到了一系列的问题，内容很杂，在此记录，日后继续完善

介绍

层次

生成以及转换

根据小米智能家居设备流量分析及脚本控制一文复现

常用STL

vs2018 快捷键

机试资料: https://pan.baidu.com/s/1QKfvbN-sV-3l89kUI-dxgQ 密码:1f65

https://github.com/xuanxuanblingbling/NFChacker

日期记录

总览

新版v3签名在v2的基础上，仍然采用检查整个压缩包的校验方式。不同的是在签名部分增可以添加新的证书，即可以不用修改ApplicationID来完成证书的更新迭代。

前人经验：https://blog.csdn.net/chr1991/article/details/64971113

一图胜千言：

官方手册：Host-based card emulation overview

概述

攻击情景——拒绝服务