又是事后诸葛，当时自己做的时候唯唯诺诺，等官方的wp出来了才敢重拳出击（🤡） 唯唯诺诺给的设备是virtio-crypto-pci，这个设备就在qemu的源码中，回想到大半个月前复现的《Scavenger：Misuse Error Handling Leading To QEMU/KVM Escape》中也有利用到hw/virtio目录中的设备，最后看了一下源码，果然和前面的

这里复现《Scavenger：Misuse Error Handling Leading To QEMU/KVM Escape》，虽然没有CVE，但也是确确实实存在过可以利用的漏洞。 具体参考：https://zhuanlan.zhihu.com/p/373084566 、 https://github.com/hustdebug/scavenger 漏洞分析漏洞函数在nvme_map

CVE-2020-14364是qemu5.2.0版本前存在的漏洞，可以借助usb这个常见设备进行逃逸。 环境搭建和分析可以直接参考：https://xz.aliyun.com/t/8320 漏洞分析在do_token_setup函数中的s->setup_len > sizeof(s->data_buf)

最近不知道为什么又重新开始对qemu的漏洞产生了兴趣，可能是V8实在学不明白（感觉太玄学了，😵‍💫） 真正复现建议直接看大佬的文章：https://www.anquanke.com/post/id/197639 、 https://github.com/0xKira/qemu-vm-escape/blob/master/writeup_zh.md 该漏洞存在于qemu3.1.0中，

最近研究angr在pwn题中的应用，发现到了2020年华为云ctf中就有这种类型的题，后来发现这场比赛中其它题目的出题点也很有意思，感觉也有必要复现一下。 参考：https://www.wolai.com/ctfhub/2ndDeVF7APBfhEndoMJccF 、 https://github.com/huaweictf/xctf_huaweicloud-qualifier-2020 ​

本文已在看雪上发表：https://bbs.kanxue.com/thread-278971.htm ​ 这类利用angr去自动探测漏洞的题在很早以前就看到过，但是在CTF中不会直接给附件，而是nc连上后接收一段base64编码，再将其解码为二进制文件，每次得到的二进制文件并不是完全相同；

V8环境搭建找个代理以后，直接参考这个师傅的文章：v8调试环境搭建。但是自己本地的代理对于浏览器这种应用可以，不知道为什么终端就是不走代理（正好和参考文章的情况相反），这里我使用的是在终端中输入export https_proxy="http://127.0.0.1:8889/和export http_proxy="http://127.0.0.1:8889/这种暂时的的代理，

这次有幸能将三道pwn题都解出了，第一天上大分，但只会解pwn，第二天不断掉分😢。 fmt白给的两次格式化字符串漏洞，最后改__libc_start_main为one_ganget即可。 123456789101112131415161718192021222324from pwn import*elf = ELF('fmt')libc = elf.libc#p = proc

今年的天津市的ctf比赛竟然使用奇安信的平台，想到去年的市赛不知道用谁家的平台，连个pwn的靶机都没搞好，体验巨差，今年奇安信的平台就非常舒服。 天津市的ctf比赛全是入门题，没什么可说的。后来我看到奇安信的平台上还有存有去年虎符ctf的题，自己就试着复现一下。 网上其他师傅也都复现过，建议直接看这些师傅的博客： https://kpwnz.github.io/2022/03/23/%E8%99%

上次在aliyun的比赛上也遇到过rust语言的题，但是那道rust的题是一道传统的堆菜单题，题目的输入输出完全都不用看ida就知道，而且后门函数也直接给出了，很容易就可以写出来。这次sctf给的是一个upd服务程序，输入输出也没有给你很多信息，这下就只能去拿ida去硬逆了（😭）。 由于是udp服务，nc连接时使用nc -u 192.168.184.133 8080。 part1首先看到ida中