0x00 前言 只是因为某宝上搜路由器跳出来的第一个设备是它，于是就选它了 型号是tplink-ax3000（TL-XDR3010易展版），固件版本是V8.0 搜了搜网上几乎一点分析资料没有，自己就试着写写看。 0x10 解包 0x11 获取固件 固件获取地址：

强网杯 rw-ltp wp mod.auth.so库的sub_4989函数存在一个栈溢出漏洞 这个li_base6

前置芝士 整数溢出 部分数据类型的大小与范围 计算机并不能存储无限大的整数，计算机中的整数类型代表的数值只是自然数的一个子集。

D^3CTF PWN write_flag_where 玩法(?)是用flag{}里的内容来单字节修改libc。例如flag{abc}，就可以将0x61覆掉到libc的一字节，只不过我们不知道远程flag是什么。 主要思路是修改open来调用stack_chk_fail，然后修改stack_chk_

L3hctf pwn-treasure_hunter exp 时隔多年打开博客发现还有一篇草稿（（ 前面的话可以伪造一下hashmap或者去逆hashmap。 我这边是直接伪造，然后打了个house of banana exp当时是本地通了，远程没通，那时还不知道ld和libc的偏移不是固定的，其他

简单记录一下qemu搭arm64环境，用于复现一些iot上的东西 肚子好疼啊 获取各种需要的文件 主要是这个网站 https://people.debian.org/~aurel32/qemu/ 里面除了arm还有其他架构的内核和镜像之类的，很方便 上面这些镜像其实没有我们需要的arm64的东西，我

login 当初比赛的时候，一连上去还以为要传马，试了半天结果没反应然后开始坐牢 泄露环境 随便输入然后登录 最好是随便 然后进file manager，开始审源码（pwn？web！）

tour from pwn import * from LibcSearcher import* context(os='linux', arch='amd64', log_level='debug') p = process('./pwn') #p = remote('60.204.130.55

silent 打开ida一看，没有输出函数，只有一个栈溢出。跟巅峰极客的linkmap有点像，都是没有输出函数而且full relro，没法打ret2dl_resolve 但是linkmap那道题中是有能函数能将地址放到bss上的，所以它可以把read的地址放到bss上，然后通过修改bss上的rea

关键词是cpp的异常处理机制（pwn try catch），可以简单参考一下这篇博客https://www.anquanke.com/post/id/89855?eqid=ef87a8a80001d2420000000264942760#h3-3 注意到当我们在第二次输入时覆盖了异或之后的canar