repeater_handout首先常规泄露canary，调试发现栈上存的返回地址是libc上的地址，可以用来leak libc。接下来常规ret2libc即可。 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960#!/usr/

Late Binding非预期解：unsafe unlink题目&官方题解： https://ctf.vnteam.cn/training/1?challenge=51官方题解的house of muney还是太吃操作了，有没有更简单的解法？有的兄弟，有的。如题，这里我们使用unsafe unlink攻击，尝试向heap list中写入&heap_list，进而得到主程序上任意地址

ezoj这比赛的pwn全是kernel，我会不了一点，于是就去协助web手打web了。这题我们当时用的是时间盲注，后来发现官方题解更简单，所以复现并记录一下。 初步分析网页最下面提示了源代码在/source下，访问即可得到网页源码： 123456789101112131415161718192021222324252627282930313233343536373839404142434

bypass首先在本地环境调试时需要拟造一个.BYPASS文件，只要满足条件即可。main函数可以leak puts, 进而leak libc。0x400978处的函数可以栈溢出，但由于见0截断，只能用one_gadget打。 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474

web调查问卷填问卷即得flag pwnAlpha_Shell禁用了一大串系统调用，拿shell肯定是别想了，只能走orw。但是传统的orw路线给ban了，只能走openat+sendfile。 注意，使用pwrite是不行的，pwrite过程会调用write函数，会导致系统调用无法执行。详见源码：https://elixir.bootlin.com/glibc/glibc-2.35/sou

WriteUpMisc小蓝鲨的签到01扫码即得flag 小蓝鲨的签到02strings命令查找即得flag 游园地1 开盒题都在武汉江汉路附近，武带人狂喜 谷歌搜图，https://news.qq.com/rain/a/20231023A06PFW00 就有个极其相似的地方，查得此地为武汉中山公园。故flag为ISCTF{湖北省_武汉市_江汉区_中山公园} 游园地2继续谷歌搜图，https://