[OGeek2019 Final]OVM首先，检查一下程序的保护机制然后，我们用IDA分析一下,是一个虚拟机其中，这里这条mov reg的指令比较重要还有这里mov memory的指令也比较重要这里两处，都存在下标越界，通过查看汇编指令可知,memory和reg都是有符号的数据数组。因此，利用reg[out] = memory[-X]，可以向上越界，将数...

Ret2dl-runtime-resolve技术在linux下，二进制引用的外部符号加载方式有三种，FULL_RELRO、PARTIAL_RELRO、NO_RELRO，在PARTIAL_RELRO和NO_RELRO的情况下，外部符号的地址延迟加载，并且，在NO_RELRO下，ELF的dynamic段可读写。ELF有plt表和got表，程序调用外部函数函数时，call的是plt表项，而plt...

n1ctf2018_null（通过劫持线程arena达到任意地址分配）首先，检查一下程序的保护机制然后，我们用IDA分析一下，主函数启动了一个线程在线程里，是一个循环其中输入函数存在溢出，由于a2没有更新，因此，如果将数据分成2部分读入的话，第二次，仍然可以读入a2个数据，从而溢出。溢出尺寸比较大，如果能够覆盖到线程arena，那么就能将fake_chunk链接到fastbin，进而分配过去。但是

IEE754 shellcodefixedpoint_plaid_2016的一题，留着备用https://github.com/ispoleet/ctf-writeups/tree/master/plaid_ctf_2016/fixedpoint#coding:utf8from pwn import *import struct#target = process('./fixedpoint_pla