2023 D^3CTF MISC d3craft
第一次给这么大型的比赛出题, 有点慌qaq. 本题仅有 3 支队伍解出, 比预期少一点. 可能是大佬们在看其他更有挑战性的题目, 对游戏不感兴趣吧. 其中来自满分冰美式的师傅以非预期的解法薄纱此题. 下面我会详细分析这题的预期解法, 以及非预期的做法, 欢迎各位对 Minecraft Hack 感兴趣的师傅一起交流!
2023 西湖论剑 Pwn JIT
赛时没出, 复现.
2023 XCTF Final Pwn haslang
一些废话: 比赛时先去看了 V8, 瞄了眼这题没什么想法后又跑去做 misc 了 (逃). 当时以为是什么打解释器的难题就先放了去做 shellgame, 结果啥都没做出来, 喜提零贡献 (逃).
V8 Pwn Basics 1: JSObject
JS 有这几种基本数据类型: Undefined, Null, Boolean, String, Symbol, Number, Object. 数组和函数实际上是 Object. 显然, 最复杂的一种类型就是 对象. 本文主要介绍 Object 在 V8 中的表示.
Kernel Pwn Heap UAF and Struct cred
UAF overwrite ptr和用户态一样, 控持程序流的一个最有效的方法就是覆盖函数指针. 在用户态, 我们可能会去覆盖一些 hook 函数指针, 或者是 FILE vtable 的指针. 在内核态也
Kernel Pwn Heap Basics
Buddy System专门用来分配以页为单位的大内存空间, 且大小必须是 2 的整数次幂, $2^{order} \times PGSIZE$. 分配时会找 order 对应的块, 如果没有, 则向上找更大的去分割一半,
Kernel Pwn ROP bypass KPTI
KPTI在不开 KPTI 的情况下, 每个进程的页表用时有 kernel space 和 user space 的映射, 但是处于用户态时没有权限访问 kernel space. 陷入内核后不需要切换页表和刷新 TLB, 可以避免很大