这场 SUSCTF 的 pwn 题难度并不算高，我们做到凌晨一点多终于 ak 了 pwn。其中我做了 rain 这题，@xi4oyu 和学弟 @h4kuy4 一起解了 happytree 这题，然后我和 @xi4oyu 一起做了 mujs 和 kqueue。rain 是一个普通的堆题，比较简单，mujs 是一个 js 解释器 pwn，以前没接触过，小语想出了类型混淆的方法，我借此 debug 调偏移最后成功 getshell。kqueue 被非预期打穿了，我们在比赛期间完全没想通能有什么非预期，就参考了 L-team @arttnba3 师傅的这篇文章使用 “setxattr + userfaultfd 堆占位”的方法完成了利用。总的来说，学到了新东西，蛮好。这里总结一下解法。

上周末参加了奇安信和 Redbud 一起组织的 TQLCTF，pwn 题的质量挺高，都挺有意思的，我在比赛期间尝试做了 unbelievable_write，ezvm 和 trivm-string 三道题，做出两题。其中 unbelievable_write 是一个传统的堆题，free 掉 tcache_prethread_struct 然后 add 即可控制该结构体实现任意地址分配，分配到 free@got 处修改为别的函数即可避免 free 非法堆块导致报错，然后再分配到 target 处覆写即可获得 flag。很简单，就不写 wp 了。然后 trivm-string 这题，三进制平衡虚拟机，确实很有意思，逆向队友帮忙写了一个反汇编器，可惜分析的稍微有点问题。本来的思路是还原栈帧并理清输入流程找到溢出点，但是由于反汇编错误丢失一些 label，看了一会儿还是放弃了。之后准备学习一下反汇编器开发的技巧，再看看能不能写个该虚拟机的反汇编器。