读万卷书，行万里路！

总结这题有点迷，按照我的理解，开启了kpti并不会影响将内核栈迁移到用户态空间并调用内核态函数，实际上我栈迁移之后调用函数会莫名其妙的挂死。

2022DASCTF-Apr-X-FATE-pwn-wp时间太仓促了，题目逆向的工作量有点大，远程还有不少毛病…&hellip

简介buuctf-pwn-wp合集 shanghai2019_slient_note checksec 远程为libc-2.27.so 利用思路固定分配0x208和0x28，且使用calloc，也就是不会从t

总结虽然对输入的rop中的字节是随机交换，但是由于循环的边界在栈上，所以可以把前面一大段都写为0，这样某一次交换就会把循环边界置为0，跳出循

总结考察strsep函数，查看其源码可知，该函数签名为：char * __strsep (char **stringp, const char *delim)，其中*stringp这个字符串会被修改。每当*s

总结也不算太baby，很有意思的一道题。 checksec 远程为libc-2.23.so。 漏洞点在check_passwd分支： 然后在后面的strcpy可以

总结直接把远程的源码和password下载下来然后修改一下逻辑即可获得flag。 EXP 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29

总结环境变量利用或者argv的利用。 checksec 带有suid。 漏洞点 调试发现，edx实际为argv0 利用思路远程开启了ASLR，所以需要猜测下栈地址，

总结直接用scp从远程主机下载二进制文件分析，你会发现远程主机执行的实际是x64文件而不是x86，并且开启了PIE防护。 checksec 可以直接下载远程的

总结多线程条件竞争，经调试分析与阅读源码，总结在多线程下释放tcache管理大小范围内的堆块的时候，流程大概如下： 线程申请tcache_pe

总结自定义了一套函数调用流程，手动模拟了push/pop/call/ret等。分析清楚每个指令的实现后，即可利用栈上的变量进行利用。 checksec 远程环

2022DASCTFXSU三月春季挑战赛-pwn-wp今天终于有空来写下wp，比赛那天恰好有事，所以就上午做了下题。最后一题的CVE-202

一道经典的内核入门题目解析。 基础知识 kernel一图胜千言： 需要注意的是，linux内核是单内核。因此，内核基本拥有对系统绝对的控制权。而微

简介有些题目很碎，直接搞一个合集吧，收录20个题目，大部分都是buuctf上面的，还有其他的题目。 hitcon_2018_hackergam

总结利用了一个组合拳gadget： 1 2 3 4 5 6 7 .text:00010620 MOV R2, R9 .text:00010624 MOV R1, R8 .text:00010628 MOV R0, R7 .text:0001062C BLX R3 .text:00010630 CMP R4, R6 .text:00010634 BNE loc_10618 .text:00010638 POP {R4-R10,PC} 这一段gadget在init函数，其实和r

总结基础的ret2shellcode的题目，直接用pwntools生成shellcode即可。 EXP 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

总结高版本的off by null不能像之前那样随便地后向合并了，因为对size域的检查更加严格。因此，在高版本的off by null，利用姿势小结如

总结看上去花里胡哨的，其实就是对栈空间的一个利用。 checksec libc-2.23.so。 漏洞点漏洞在checkout上，可以将栈上的Apple添加到链

总结表面看是迷宫，其实是一道off by null的题目。在已知指针数组情况下的off by null，一般来说用unlink是最快最有效的。 checksec 给的li

总结好了，下一道。 checksec 题目的架构为aarch64，小端序。 程序分析分析后发现为经典的增删改查的题目，漏洞点也比较多，这里给出几个漏洞点： 在ed