CTF

0xL4ugh CTF V5 > House Of Pain (Draft)

0xL4ugh CTF V5 > Alice

Vuln: Vẫn giữ reference sau khi free, dẫn đến use-after-free.

0xL4ugh CTF V5 > Zoro's Blind Path

0xL4ugh CTF V5 > New Age

GoogleCTF 2023 Quals > ubf

Vuln: Chương trình tin rằng trường metadata_size trong header kiểu bool không có ý nghĩa, nên bỏ qua mọi kiểm tra. Nhưng thực tế, field đó vẫn được sử dụng, sai với ý định ban đầu, attacker lợi dụng điều này thực hiện ghi out-of-bound.

GoogleCTF 2023 Quals > gradebook

Vuln: Chương trình giả sử rằng room chỉ có 3 ký tự, nhưng lại cho phép attacker nhập 4 ký tự, dẫn đến ghi đè null terminator và leak dữ liệu trên stack. Tiếp đến, chương trình tin rằng các metadata của file gradebook là hợp lệ, tuy nhiên attack có thể làm giả field head_offset, dẫn đến làm giả toàn bộ field khác, hoặc chỉnh sửa metadata sau khi đã load file do chia sẻ vùng nhớ -> đọc ghi tùy ý.

tl;dr: Cứ input full size buffer đi; MAP_SHARED cho map trực tiếp vào source gốc;

BtS 2025 > poniponi virus

Vuln: Chương trình tin rằng n > 0 khi sử dụng làm offset trên heap, nhưng cho phép nhập n với kiểu signed, dẫn đến ghi out-of-bound.

BtS 2025 > HexDumper

Vuln: Chương trình tin rằng count > 0 khi dùng Duff's device để copy dữ liệu, nhưng attacker có thể đưa count = 0 qua input không được validate, dẫn đến buffer overflow 8 byte trên heap.

tl;dr: wide_vtable chưa bị validate như vtable.

WannaGame Championship 2025 > oop

Vuln: Chương trình tin rằng việc Person trong Note được copy tạo ra một object độc lập, tuy nhiên trên thực tế, shallow copy được thực hiện, dẫn đến có 2 Person object cùng có description trỏ đến một vùng nhớ -> use-after-free.

tl;dr: Để ý kiểu copy của object, shallow hay deep?

VCS Passport 2025 > pwn

Vuln: Chương trình cho rằng buffer cần ghi có độ dài 256 bytes, nhưng trên thực tế trước đó buffer có thể được cấp phát ít hơn 256 bytes, dẫn đến heap buffer overflow.

VCS Passport 2025 > final pokemon player

Vuln: Chương trình tin rằng biến toàn cục total_owned_pokemons được truy cập tuần tự, nhất quán, tuy nhiên 2 thread vẫn có thể tranh chấp dẫn đến TOC-TOU race condition -> ghi out-of-bound.

tl;dr: Kiểm tra race condition nơi có sử dụng thread.

VCS Passport 2025 > node user

Vuln: heap buffer overflow - improper buffer check in read().

VCS Passport 2024 > PWN3

Vuln: Chương trình tin rằng chỉ hàm handler() được gọi, nên stack frame của hàm đó và dữ liệu trong đó vẫn dữ nguyên, nên không kiểm tra con trỏ buf. Tuy nhiên attacker có thể gọi hàm khác trước khi gọi handler(), dẫn đến làm giả con trỏ buf.

VCS Passport 2024 > PWN2

Vuln: Chương trình tin rằng chỉ cần node tại index không phải null thì có nghĩa là hợp lệ, tuy nhiên trên thực tế attacker có thể free node mà không set null, dẫn đến use-after-free.

VCS Passport 2024 > PWN1

Vuln: Chương trình cho rằng kích thước được nhập vào sẽ không vượt quá 30 bytes, tuy nhiên trên thực tế được nhập 200 bytes -> stack buffer overflow và heap buffer overflow.

HeroCTF v7 > Identity

Vuln: Chương trình tin rằng chỉ có 8 sessions, tuy nhiên thực tế checks cho phép index = 8, attacker lợi dụng điều này thực hiện ghi out-of-bound.

HeroCTF v7 > Safe Device (Draft)

HeroCTF v7 > Crash

Vuln: format string bug; stack buffer overflow.

HeroCTF v7 > Paf Traversal

Vuln: Chương trình tin rằng oath được yêu cầu không chứa traversal pattern và algo_type nằm trong khoảng hợp lệ, tuy nhiên attacker có thể path traversal và nhập giá trị algo_type tùy ý.

HeroCTF v7 > Story Contest

Vuln: Chương trình tin rằng biến global_story_len không bị tranh chấp và nhất quán, nhưng thực tế có thể có nhiều thread thao tác đồng thời, dẫn đến TOCTOU race condition -> stack buffer overflow.

CSCV 2025 Jeopardy Final > Calc

Vuln: Chương trình tin rằng sau khi gặp lỗi và throw exception chia cho 0, Expr con đều đã được cleanup và không còn reference, tuy nhiên tại exception handler, không có code cleanup khiến Expr cha vẫn giữ reference đến Expr con, dẫn dến double-free khi gặp lỗi lần sau.

CSCV 2025 Jeopardy Final > HeapNote Revenge

Vuln: Chương trình tin rằng hàm input kích thước từ người dùng và kích thước trả về sử dụng cùng kiểu dữ liệu -> tin rằng đã nằm trong khoảng hợp lệ, tuy nhiên attacker có thể nhập kích thước gây tràn số, dẫn đến bypass các checks qua implicit cast -> stack buffer overflow.

tl;dr: Cần track thêm cả type của biến, integer vulnerability rất tinh vi.

CSCV 2025 Jeopardy Final > Anyone Think

CSCV 2025 Jeopardy Final > Master's Request

Vuln: RWX Segment.

HTB Cyber Apocalypse CTF 2025: Tales from Eldoria > Contractor

Vuln: stack buffer overflow - improper length check in read().

HTB Cyber Apocalypse CTF 2025: Tales from Eldoria > Strategist

Vuln: Chương trình tin rằng dữ liệu được ghi vào sẽ không vượt quá kích thước chunk được cấp phát, nhưng trên thực tế kích thước overflow dẫn đến ghi đè vào size của chunk sau do sử dụng strlen().

HTB Cyber Apocalypse CTF 2025: Tales from Eldoria > Crossbow

Vuln: out-of-bound write -> stack pivot.

HTB Cyber Apocalypse CTF 2025: Tales from Eldoria > Laconic

Vuln: stack buffer overflow - improper length check in read().

CSCV 2025 Preliminary > Hanoi Convention

Vuln: Chương trình tin rằng player_thoughts sẽ không chứa format string, tuy nhiên attacker có thể nhập format string do không validate, dẫn đến leak dữ liệu trên stack. Bên cạnh đó, chương trình cũng tin rằng, random_message_ptr luôn trỏ đến chuỗi hợp lệ, nhưng attacker có thể làm giả bằng cách buffer overflow trên vùng bss do không kiểm tra độ dài src so với dest khi strcpy().

tl;dr: Patch byte trong binary phục vụ cho debug; Leak nhiều địa chỉ libc để dự đoán phiên bản glibc.

CSCV 2025 Preliminary > sudokuS

Vuln: Chương trình tin rằng với các ràng buộc theo như quy tắc của game Sudoku và việc seccomp được bật, thì việc nhập shellcode đầy đủ là không thể, nhưng attacker có thể bypass bằng cách nhập từng đoạn shellcode có các bytes đôi một khác nhau.

CSCV 2025 Preliminary > Heap NoteS

Vuln: Chương trình cho rằng con trỏ Node->next luôn trỏ đến địa chỉ hợp lệ, nhưng attacker có thể lợi dụng buffer overflow tại Node->content với fgets() để làm giả Node->next, dẫn đến đọc ghi tùy ý.

CSCV 2025 Preliminary > RacehorseS

GoogleCTF 2023 Quals > write-flag-where123

tl;dr: PTY vs PIPE; Blind data leak;

BtS 2025 > lotto

Vuln: Không kiểm tra kích thước của src so với dest và sử dụng kích thước của src làm đối số count trong memcpy(), gây stack buffer overflow.

ASCIS Final 2024 > ROP

Vuln: Chương trình tin rằng việc cho phép overflow 40 bytes không có vấn đề to tát, tuy nhiên attacker có thể stack pivot và thực hiện ROP.

ASCIS Final 2024 > BugBounty

Vuln: Chương trình tin rằng messages[index] luôn trỏ tới buffer còn sống, nhưng attacker có thể free rồi dùng lại qua cùng index do không set con trỏ về null, dẫn dến use-after-free.

ASCIS Final 2024 > RUN NOW

Vuln: Chương trình tin rằng kích thước src <= dest, nhưng dùng strcpy() để copy 128 bytes vào buffer 64 bytes, dẫn đến stack buffer overflow.

picoCTF 2023 > Horsetrack

Vuln: use after free - dangling pointer.

picoCTF 2024 > high frequency troubles

Vuln: house of orange + heap buffer overflow - improper length check in gets().

picoCTF 2024 > babygame03

picoCTF 2025 > Echo Valley

picoCTF 2025 > Handoff

Vuln: stack buffer overflow.