Squirre17 Blog

12345678910111213__int64 __fastcall sub_5713A8(__int64 a1){ __int64 result; // rax result = sub_70031D(a1, "pci-device", "/home/wang/qemu/hw/misc/myrfid.c", 369LL, "rfid_class_init"); *(_QWORD *)(result + 176) = qxl_reset_handler; *(_QWORD *)(result + 184) = 0LL; *(_WORD *)(result + 208) = 0x420; [1] <<- vendor_id *(_WORD *)(result + 210) = 0x1337; [2] <<- device_id *(_BYTE *)(result + 212) = 0x69; *(_WORD *)(result + 214) = ...

CakeCTF 2022 # welkerme 没开 kaslr 没开 smep 找到 cc 和 pkc 一把梭了 # str.vs.cstr c++ 简单溢出 没开 pie 和 relro 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364#include <array>#include <iostream>struct Test { Test() { std::fill(_c_str, _c_str + 0x20, 0); } char* c_str() { return _c_str; } std::string& str() { return _str; }private: __attribute__((used)) void call_me() { std::system(& ...

# notebook 的多种解法 2021 QWB 这个题就是考锁没加好的多线程条件竞争 # 传统 ROP -ptmx 利用 realloc 指针延迟回写的效果 将 free 的块回写回控制区 造成对 tty struct 结构体的控制 然后泄漏 kernel base 并两段栈迁移 (测试过 一段迁移不行 会卡在一个地方) 1234567891011121314151617181920212223242526272829303132333435363738394041424344__int64 __fastcall noteedit(size_t idx, size_t newsize, void *buf){ __int64 v3; // rdx __int64 v4; // r13 note *v5; // rbx size_t size; // rax __int64 v7; // r12 __int64 v8; // rbx (···) v4 = v3; v5 = &notebook[idx]; raw_read_lock(& ...

# Guess the secret number 123456789101112131415161718192021pragma solidity ^0.4.21;contract GuessTheSecretNumberChallenge { bytes32 answerHash = 0xdb81b4d58595fbbbb592d3661a34cdca14d7ab379441400cbfa1b78bc447c365; function GuessTheSecretNumberChallenge() public payable { require(msg.value == 1 ether); } function isComplete() public view returns (bool) { return address(this).balance == 0; } function guess(uint8 n) public payable { ...

Capture the Ether - Mapping 从一道题入门 blockchain # EVM 存储简介 solidity 编译后的数据 是放在 slot 的结构中 slot 有 2 ^ 256 个 每一个有 256 位 对于 solidity 中的可以在编译期间确定的静态元素 solc 会将其依次放入内存插槽中（slot） 这里 bcd 都是 256 位 所以放在 slot [0…2] 但如果是可变长数据结构如果是 array 或者 map 值会被放在其他地方 为了性能 这里是直接对当前的 idx 取 keccak 比如 keccak(0) = 0x290decd9548b62a8d60345a988386fc84ba6bc95484008f6362f93160ef3e563 如果 slot[0] 是 array 的话 那么数据就会被放在 slot[0x290decd9548b62a8d60345a988386fc84ba6bc95484008f6362f93160ef3e563] 里 注意这里 keccak 是对补齐后的字符串进行 hash 的 而不 ...

# 背景提要 回校后来到实验室 借用了下姚佬的 2k 大屏 发现确实舒服 但是有个致命的问题 键盘输入和显示器显示有明显的延迟 但是在主机就没事 加上之前也厌烦了在主机和虚拟机之间划来划去 怪麻烦的 就想有没有可替代的方案 让我不需要进虚拟机（将其当个远程服务器） 就能舒舒服服的做 pwn 题 然后发现了 Csome 师傅的博客 是用 powershell 在 wsl 进行的 然后我审计了一下 pwntools 的源码 确实会启动一个 terminal 进程 将我们输入的参数进去执行 在 window 下启动的进程是 cmd.exe 是挂载在 /mnt 目录下 但是由于是跨文件系统 打开实在太慢 （window 的程序要访问 linux 进程内部的内存空间 得先从 Linux 切进 window 在 window 上打开 cmd.exe 再切回 Linux） 因此寻找别的替代方案 正好也是 defcon 时期 无聊刷推的时候看到 DEF CON LiveCTF 2022 - Day 2 - YouTube 中间的 winpwn 玩家采取的方法 其实也就是 pause 等待进程 ...

# 环境搭建 固件获取 WF2419 Fetching Title#sw0w 选择 WF2419（2.2.36123） 先逆向分析 boa 漏洞点 12345678910111213141516171819loc_4145D8: # saddiu $a0, $sp, 0x60+var_40li $a1, 0x420000nopaddiu $a1, (aSS_0 - 0x420000) # "%s:%s"move $a2, $s0move $a3, $s4la $t9, sprintfnopjalr $t9 ; sprintfnoplw $gp, 0x60+var_48($sp)nopli $s3, 0x460000nopaddiu $s3, (byte_4596D0 - 0x460000)lbu $v0, 0x60+var_40($sp)nopaddiu $s2, $v0, -0x3A 12345678910111213141516171819202 ...

# 参考 看雪大爹 GCONV_PATH 利用 GCONV_PATH 利用 2 合天 天玄实验室 安全客 少羽 # 软件简介 https://gitlab.freedesktop.org/polkit/polkit/ polkit is a toolkit for defining and handling authorizations. It is used for allowing unprivileged processes to speak to privileged processes. pkexec 是 polkit 是一个程序，polkit 负责不同特权级的进程间的通讯 pkexec echo "1" 1234567squ@squ-virtual-machine:~/tools/modules-5.0.1$ pkexec --helppkexec --version | --help | --disable-internal-agent | [--user username] PROGRAM [ARGUME ...