plusls' blog

windows terminal 真香！

Windows terminal

update: 2020-3-24 21:07:19

自从MS推出windows terminal后我开始真香了，windows terminal大法好！

本方案可以结合之前powershell的方案

效果如下

分析

日哦，一看这题，64位，只有一个read有溢出，syscall禁用了一堆，只留下 open，read,，mprotect,，exit，拿头做题。（懒得放图了，没啥意思）

难道又要将mprotect的地址解析出来去调用？？？

等等，这题有libc，为啥有libc呢

开了一晚上的脑洞后，惊讶的发现了一件事情：

最后1byte为0x80时，指向的是alarm，如果是0x85就是syscall！

只需调用read，覆写alarm的got表的最后1byte为0x85，就可以通过syscall调用mprotect了！

啥，x64不会调用3个参数的函数？init函数的那几个gadget了解一下

就这样很轻易的让bss段变成可执行的了。

附录

ret2_dl_runtime_resolve: https://ctf-wiki.github.io/ctf-wiki/pwn/stackoverflow/advanced_rop/

分析

这题，开门有惊喜

整个题就一个read，也只有这有一个溢出点，然后，啥都没了。

Reverse

PWN

babystack: [0CTF-2018] babystack

blackhole: [0CTF-2018] blackhole

分析

拿到题目后F5，发现是个菜单题，并且给出了libc

linux下如何加载指定的so文件，可以见： Linux 加载动态链接库原理分析

挖坑待填

从指定目录加载动态链接库

只需要设置 LD_LIBRARY_PATH 这个环境变量即可

若是希望后面的程序都优先从该目录加载，可以执行下面的命令

1

export LD_LIBRARY_PATH=/home/plusls/Desktop:$LD_LIBRARY_PATH

ida作为工业级的逆向分析工具，尤其是其F5这个让人增寿的东西，若是正确使用，则可以为分析者节省下大把时间。

注 ：本文默认IDA版本均为IDA7.0以及以上

分析

本题会对注册表进行修改，请自行nop掉该函数或者放到虚拟机运行

分析

题目中给出了一个txt，内容如下：