Tag: stack-pivoting (10)

pwnable.tw > Food Store

Vuln: Con trỏ next trỏ đến Recipe tiếp theo ko đc init khi tạo Recipe mới, có thể bị lợi dụng để trỏ về chunk đã free, dẫn đến UAF, tạo chunk overlap.

tl;dr: Không chỉ setup heap cho mục tiêu ngay trước mắt, mà cần tính toán cho các bước về sau; Heap spray, rồi lợi dụng alignment khi cấp phát để kiểm soát uninit data.

pwnable.tw > Bounty Program β

Vuln: Không kiểm tra NULL trước khi sử dụng strtok().

tl;dr: Bounty Program α

pwnable.tw > WannaHeap

tl;dr: Bớt map to another variable trong IDA lại :); Tìm gadgets hiệu quả hơn; Setcontext gadget để setup toàn bộ register.

pwnable.tw > unexploitable

pwnable.tw > De-ASLR

tl;dr: Tận dụng địa chỉ libc, ld còn sót lại trên stack, phía dưới stack frame thì do tổ tiên caller, phía trên thì do callee; Bruteforce ASLR với xác suất; Exploit trên remote có thể cần nhiều lần chạy kể cả khi local chỉ cần 1 lần;

pwnable.tw > applestore

Vuln: Chương trình giữ reference toàn cục đến biến cục bộ của hàm. Khi hàm khác được gọi, vị trí biến cục bộ bị overlapped, dẫn đến chương trình sử dụng input do attacker kiểm soát.

tl;dr: Cần check xem biến cục bộ nào trong stack bị lưu lại tham chiếu; Không giả định rằng chương trình sử dụng bao nhiêu data đc input vào thì mình chỉ nhập bấy nhiêu đó.

pwnable.tw > Silver Bullet

Vuln: Việc sử dụng strncat() không cẩn thận dẫn đến 1 null byte overflow ở cuối, ghi đè bộ đếm gây ra stack buffer overflow.

tl;dr: 1 null byte overflow cần để ý kỹ (sau khi user input); Stack pivot để đặt rbp vào nơi hợp lý và control RIP đến nơi tính toán địa chỉ dựa trên rbp.

pwnable.tw > 3x17

tl;dr: Ghi đè fini_array; Break toàn bộ địa chỉ trong GOT entries.

HTB Cyber Apocalypse CTF 2025: Tales from Eldoria > Crossbow

Vuln: out-of-bound write -> stack pivot.

ASCIS Final 2024 > ROP

Vuln: Chương trình tin rằng việc cho phép overflow 40 bytes không có vấn đề to tát, tuy nhiên attacker có thể stack pivot và thực hiện ROP.