##序言

这个是Hgame_CTF第三周的题型，难度系数一周比一周大，并且还涉及到了各个方面的专业知识，一整期做出来对也许会有一个较为大的提高。在其中有一道反向，是根据监管本地端口来获得键入的，之一次接触这类键入方式，故可以借此机会纪录一下。

上两个星期的题型回望：HgameCTF(week1)-RE,PWN题分析

记一次新春佳节CTF实战演练训练(RE/PWN)

##pwn ###ROP_LEVEL2

程序流程init禁止使用了59号终断，因此 不可以getshell

main函数存有栈溢出，可是数最多只有遮盖到EBP和回到详细地址。前面会载入256个字节数进到buf静态变量。能够根据栈转移把栈区转移到buf中，随后在buf中结构ROP，启用OPEN函数开启flag随后跳到0x040098F详细地址载入并輸出flag。

###Annevi_Note

查询edit函数，每一次会固定不动读取256个字节数。而每一次只有申请办理低于143字节数的堆块，照大堆外溢。

check一下文档查询开过什么维护

能够先申请办理usorted bin随后释放出来再申请办理回家启用show函数輸出unsorted bin addr，先减掉88再减掉main_arena_offset求出libc基详细地址，不一样版本的libc相匹配着不一样版本的main_arena_offset。随后应用unlink促使能更改list中的原素，载入malloc hook详细地址，随后更改malloc hook为one gadget。

exp

###E99p1ant_Note

查询read_n函数，存有off-by-one。能修外溢改动一个字节。

能够依照上边一道题的方式，先泄漏出libc基详细地址。随后利用off-by-one相互配合unsorted bin attack，促使链表中2个原素偏向同一块内存，随后利用fastbin attack改动malloc hook变为one gadget。

##re

###oooollvm

程序流程加了ollvm混淆，也许可以用deflat.py除去，可是该程序结构非常简单，尽管加了混淆，但還是能够看清逻辑性，因此 能够带混淆逆。实际上假如确实确实解不上混淆，能够凭工作经验下中断点，或是在所有的真正块下中断点动态性调节也是能够的，但是较为不便。

v12为电子计数器，table1和flag历经测算和table2比照。

能够写脚本。

###Go_master

程序流程为Go写的linux下的程序流程。符号表没去，逆起來非常简单。

键入分辨是不是为9位。

随后进到sha1加密后比照。因为沒有其他信息内容，有点儿难猜想9位是什么。

之后发觉这9位和:2333拼凑，进到net_Listen函数。

flag___FlagSet__Parse((__int64)a1, a2, qword_647088, os_Args, *(__int128 *)&v35);

runtime_concatstring3(

(__int64)a1,

a2,

v72[1],

v74[1],

v37,

v38,

0,

*v74,

v74[1],

(unsigned __int64)":