PWN1GNU Debugger开靶机，运行： 要查看r12寄存器，于是在register窗口查看： 复制过去 第二关： 使用telescope查看该地址： telescope 0x555555557c27 复制后进入下一关 在这个位置使用b下断点： b *(0x555555555779) 使用set指令设置该地址为0xdeadbeef set *(0x7fffffffdce4)...

理解程序checksec： 开启了全保护 64位 IDA64查看，标记函数： add函数： 正常的malloc edit： 未限制编辑字节数，存在堆溢出 show： 正常的show出来 delete： 将free指针给清零，也没有什么漏洞 同时： 输入5会跳转到一个函数 这道题的libc版本为2.39，版本较高，存在一个堆溢出，想法是先利用堆溢出泄露堆地址，再用堆地址得到unso...

理解程序checksec： 没开PIE IDA64打开： 开启了沙箱，可以使用shellcode 限制shellcode为0xf 0x5的次数只能为2次 对应汇编是syscall 也就是只能执行两次syscall 查看沙箱： 只允许使用写出的系统调用 思路是先open flag文件，然后利用mmap将flag的文件描述符映射到一个可读地址，再用write写出来 但是限制了只能执行两...

理解程序：文件给了个libc，ld，sh文件和elf checksec： 保护全开 IDA64打开： 以及run.sh文件 要用runsh来运行chtest 查看chtest里的函数： securefd： 关闭了标准错误输出并且打开了根目录，由于文件描述符会自动分配最小的，此时该根目录在标准错误输出的fd位置上。 然后在fd位2的位置打开了flag，之后关闭了3到1000的fd 也就...

理解程序: 64位开启了NX IDA64打开 是静态链接，标记一下函数，并且导入签名文件恢复部分符号表 先看add函数： 申请固定大小的0x100的堆，并且将堆的指针存在heap_array全局变量中 edit函数： 正常的编辑 delete函数： 没有对free的指针清零，存在UAF漏洞 没有show函数 而且开启了沙箱禁用execve： 同时题目说明了是libc2.23，那么就...