Tag: stack-buffer-overflow (26)

pwnable.tw > Starbound

pwnable.tw > unexploitable

pwnable.tw > De-ASLR

tl;dr: Tận dụng địa chỉ libc, ld còn sót lại trên stack, phía dưới stack frame thì do tổ tiên caller, phía trên thì do callee; Bruteforce ASLR với xác suất; Exploit trên remote có thể cần nhiều lần chạy kể cả khi local chỉ cần 1 lần;

pwnable.tw > Kidding

tl;dr: Tương tác out-of-band; Mở socket để tạo reverse shell.

pwnable.tw > BabyStack

Vuln: Chương trình kiểm tra mật khẩu không cẩn thận với hàm strncmp(), dẫn đến bị bruteforce bởi attacker. Chương trình copy dữ liệu với hàm strcpy() nhưng không kiểm tra kích thước buffer, dẫn đến stack buffer overflow.

tl;dr: Từ hàm này có thể gây overflow trên stack frame của hàm khác.

pwnable.tw > Spirited Away

Vuln: Chương trình sử dụng sprintf() cho ra chuỗi kết quả vượt quá kích thước buffer, gây buffer overflow ghi đè vào len, tiếp tục gây buffer overflow ở các buffer khác.

tl;dr: Buffer overflow rất tinh vi, check size buffer thật kỹ.

pwnable.tw > Silver Bullet

Vuln: Việc sử dụng strncat() không cẩn thận dẫn đến 1 null byte overflow ở cuối, ghi đè bộ đếm gây ra stack buffer overflow.

tl;dr: 1 null byte overflow cần để ý kỹ (sau khi user input); Stack pivot để đặt rbp vào nơi hợp lý và control RIP đến nơi tính toán địa chỉ dựa trên rbp.

pwnable.tw > dubblesort

Vuln: Chương trình không kiểm tra số lượng số được nhập vào, dẫn đến buffer overflow trên stack, kết hợp với việc stack canary bị bypass do hành vi của hàm scanf().

tl;dr: scanf() gặp input ko khớp với format thì sẽ bỏ qua buffer cần ghi; offset ở local và remote có thể khác nhau dù đã patch binary.

GoogleCTF 2023 Quals > gradebook

Vuln: Chương trình giả sử rằng room chỉ có 3 ký tự, nhưng lại cho phép attacker nhập 4 ký tự, dẫn đến ghi đè null terminator và leak dữ liệu trên stack. Tiếp đến, chương trình tin rằng các metadata của file gradebook là hợp lệ, tuy nhiên attack có thể làm giả field head_offset, dẫn đến làm giả toàn bộ field khác, hoặc chỉnh sửa metadata sau khi đã load file do chia sẻ vùng nhớ -> đọc ghi tùy ý.

tl;dr: Cứ input full size buffer đi; MAP_SHARED cho map trực tiếp vào source gốc;

BtS 2025 > poniponi virus

Vuln: Chương trình tin rằng n > 0 khi sử dụng làm offset trên heap, nhưng cho phép nhập n với kiểu signed, dẫn đến ghi out-of-bound.

VCS Passport 2025 > final pokemon player

Vuln: Chương trình tin rằng biến toàn cục total_owned_pokemons được truy cập tuần tự, nhất quán, tuy nhiên 2 thread vẫn có thể tranh chấp dẫn đến TOC-TOU race condition -> ghi out-of-bound.

tl;dr: Kiểm tra race condition nơi có sử dụng thread.

VCS Passport 2024 > PWN3

Vuln: Chương trình tin rằng chỉ hàm handler() được gọi, nên stack frame của hàm đó và dữ liệu trong đó vẫn dữ nguyên, nên không kiểm tra con trỏ buf. Tuy nhiên attacker có thể gọi hàm khác trước khi gọi handler(), dẫn đến làm giả con trỏ buf.

VCS Passport 2024 > PWN1

Vuln: Chương trình cho rằng kích thước được nhập vào sẽ không vượt quá 30 bytes, tuy nhiên trên thực tế được nhập 200 bytes -> stack buffer overflow và heap buffer overflow.

HeroCTF v7 > Crash

Vuln: format string bug; stack buffer overflow.

HeroCTF v7 > Story Contest

Vuln: Chương trình tin rằng biến global_story_len không bị tranh chấp và nhất quán, nhưng thực tế có thể có nhiều thread thao tác đồng thời, dẫn đến TOCTOU race condition -> stack buffer overflow.

CSCV 2025 Jeopardy Final > HeapNote Revenge

Vuln: Chương trình tin rằng hàm input kích thước từ người dùng và kích thước trả về sử dụng cùng kiểu dữ liệu -> tin rằng đã nằm trong khoảng hợp lệ, tuy nhiên attacker có thể nhập kích thước gây tràn số, dẫn đến bypass các checks qua implicit cast -> stack buffer overflow.

tl;dr: Cần track thêm cả type của biến, integer vulnerability rất tinh vi.

Random stuff > CVE-2022-0324 > Buffer Overflow in dhcp6relay of SONiC

Vuln: CVE-2022-0324 breaks the invariant that SONiC’s dhcp6relay must validate DHCPv6 option/payload lengths so it never copies more bytes than the destination buffer can hold.​The invariant is violated when a remote attacker sends a crafted DHCPv6 packet that reaches a memcpy with an unchecked length, causing an out-of-bounds write (buffer overflow).

HTB Cyber Apocalypse CTF 2025: Tales from Eldoria > Contractor

Vuln: stack buffer overflow - improper length check in read().

HTB Cyber Apocalypse CTF 2025: Tales from Eldoria > Crossbow

Vuln: out-of-bound write -> stack pivot.

HTB Cyber Apocalypse CTF 2025: Tales from Eldoria > Laconic

Vuln: stack buffer overflow - improper length check in read().

CSCV 2025 Preliminary > Hanoi Convention

Vuln: Chương trình tin rằng player_thoughts sẽ không chứa format string, tuy nhiên attacker có thể nhập format string do không validate, dẫn đến leak dữ liệu trên stack. Bên cạnh đó, chương trình cũng tin rằng, random_message_ptr luôn trỏ đến chuỗi hợp lệ, nhưng attacker có thể làm giả bằng cách buffer overflow trên vùng bss do không kiểm tra độ dài src so với dest khi strcpy().

tl;dr: Patch byte trong binary phục vụ cho debug; Leak nhiều địa chỉ libc để dự đoán phiên bản glibc.

GoogleCTF 2023 Quals > write-flag-where123

tl;dr: PTY vs PIPE; Blind data leak;

BtS 2025 > lotto

Vuln: Không kiểm tra kích thước của src so với dest và sử dụng kích thước của src làm đối số count trong memcpy(), gây stack buffer overflow.

ASCIS Final 2024 > ROP

Vuln: Chương trình tin rằng việc cho phép overflow 40 bytes không có vấn đề to tát, tuy nhiên attacker có thể stack pivot và thực hiện ROP.

ASCIS Final 2024 > RUN NOW

Vuln: Chương trình tin rằng kích thước src <= dest, nhưng dùng strcpy() để copy 128 bytes vào buffer 64 bytes, dẫn đến stack buffer overflow.

picoCTF 2024 > babygame03