Run any Skill in Manus with one click

ctf-pwn

CTF 二进制漏洞利用(Pwn)技术。当挑战提供 ELF/PE 可执行文件并开放 nc 端口、存在栈溢出/堆溢出/格式化字符串/UAF 漏洞时使用。覆盖 ROP 链构造、堆利用(tcache/House of Orange/Spirit)、内核利用、seccomp 沙箱逃逸、pwntools 自动化利用脚本编写

Run Skill in Manus

Overview

Install command

npx skills add https://github.com/wgpsec/AboutSecurity --skill ctf-pwn

Copy and paste this command into Claude Code to install the skill

Source

wgpsec/AboutSecurity

Stars1,408

Forks224

UpdatedMay 21, 2026 at 09:17

File Explorer

23 files

SKILL.md

readonly

name	ctf-pwn
description	CTF 二进制漏洞利用(Pwn)技术。当挑战提供 ELF/PE 可执行文件并开放 nc 端口、存在栈溢出/堆溢出/格式化字符串/UAF 漏洞时使用。覆盖 ROP 链构造、堆利用(tcache/House of Orange/Spirit)、内核利用、seccomp 沙箱逃逸、pwntools 自动化利用脚本编写
metadata	{"tags":"ctf,pwn,binary,exploit,overflow,rop,heap,kernel,shellcode,格式化字符串","category":"ctf"}

CTF 二进制漏洞利用 (Pwn)

深入参考

以下参考资料按漏洞类型组织，按需加载：

漏洞类型	skill 引用
栈溢出 / ret2win / Canary绕过	references/stack-overflow.md
格式化字符串 / 泄漏 / GOT覆写 / Blind Pwn	references/format-string.md
堆(UAF/double free/tcache/House of X)	references/heap-exploitation.md
ROP(ret2csu/ret2libc/SROP/seccomp绕过/RETF)	references/rop-techniques.md
内核堆喷 / tty_struct / userfaultfd / modprobe_path	references/kernel-exploitation.md
KASLR / KPTI / SMEP / SMAP / FGKASLR 绕过	references/kernel-bypass.md
自定义VM / JIT / 类型混淆 / FSOP / Windows / ARM	references/advanced-pwn.md
Python沙箱 / FUSE / Busybox / 受限Shell	references/sandbox-escape.md
栈溢出基础 / 结构体覆写 / 有符号整数 / Canary	references/overflow-basics.md
ROP链构造 / ret2csu / XOR编码 / shellcode	references/rop-and-shellcode.md
高级ROP / 双栈迁移 / UTF-8 SROP / RETF绕seccomp	references/rop-advanced.md
堆技术(House of Apple2/Einherjar/自定义分配器)	references/heap-techniques.md
堆FILE结构(fastbin→stdout/vtable劫持/glibc 2.24+)	references/heap-fsop.md
内核基础(环境/堆喷结构/栈溢出/提权原语)	references/kernel.md
内核技术(tty_struct/userfaultfd/SLUB/Panic泄漏)	references/kernel-techniques.md
高级利用2(字节码/io_uring/整数截断/GC)	references/advanced-exploits-2.md
高级利用3(栈变量重叠/1字节溢出/GOT覆写)	references/advanced-exploits-3.md
高级利用4(Windows SEH/ARM Thumb/Forth/GF(2))	references/advanced-exploits-4.md
高级利用5(Chip-8模拟器/浮点Canary/Bloom Filter)	references/advanced-exploits-5.md
Pwn 实战笔记(堆速查/利用备忘/常用命令)	references/field-notes.md

大文件目录索引 (>300行，建议先看目录定位)

format-string.md (331行)：

Format String Basics / Argument Retargeting / Blind Pwn / Filter Bypass / Canary+PIE Leak / __free_hook Overwrite / .rela.plt Patching / Game State / .bss Pivot / argv[0] Leak

kernel-bypass.md (421行)：

KASLR/FGKASLR Bypass / KPTI Bypass (4 methods) / SMEP/SMAP Bypass / GDB Debug / Initramfs Workflow / Exploit Templates

kernel-exploitation.md (398行)：

QEMU Setup / vmlinux提取 / Config Checks / Heap Spray Structures / ret2usr / kROP / modprobe_path / core_pattern / tty_struct / userfaultfd / SLUB Internals / Cross-Cache / PTE Overlap

advanced-pwn.md (591行)：

VM Exploitation / Integer Vulnerabilities / Memory Primitives / Arbitrary R/W / FSOP+Heap / Specialized (ASAN/DNS/ELF Signing/JIT) / TLS Destructor / GF(2) Gaussian / Windows/ARM/Forth

分类决策树

Pwn 题目分析？
├─ 检查保护: checksec binary
│  ├─ PIE 关闭 → 地址固定，直接覆写 GOT/PLT
│  ├─ Partial RELRO → GOT 可写 → GOT覆写
│  ├─ Full RELRO → 需找替代目标(hooks/vtable/.fini_array)
│  ├─ NX 开启 → 不能执行栈/堆shellcode → 用 ROP
│  └─ Canary → 需泄漏或用堆/字节溢出绕过
├─ 漏洞类型
│  ├─ 栈溢出
│  │  ├─ 基础 ret2win → `stack-overflow.md`
│  │  ├─ ret2libc / ROP → `rop-techniques.md`
│  │  ├─ Canary绕过 → `stack-overflow.md` + `advanced-pwn.md`
│  │  └─ 堆叠溢出 → `advanced-pwn.md`
│  ├─ 格式化字符串
│  │  └─ `format-string.md`
│  ├─ 堆(UAF/double free/tcache)
│  │  ├─ 基础 tcache poisoning → `heap-exploitation.md`
│  │  ├─ House of X/Orange/Lore → `heap-exploitation.md` + `advanced-pwn.md`
│  │  └─ FSOP → `advanced-pwn.md`
│  ├─ 内核模块
│  │  ├─ 基础环境/提权 → `kernel-exploitation.md`
│  │  └─ 保护绕过 → `kernel-bypass.md`
│  └─ 自定义 VM / JIT / 类型混淆
│     └─ `advanced-pwn.md`
└─ 利用链
   ├─ 泄漏 → 计算libc基址 → one_gadget / system / FSOP
   ├─ ROP → ret2libc / SROP / ret2dlresolve / seccomp绕过
   └─ 堆 → House of X / tcache poisoning → __free_hook / TLS dtors

保护机制速查

保护	状态	影响	绕过方法
PIE	关闭	GOT/PLT/函数地址固定	直接覆写
PIE	开启	地址随机化	泄漏 → 计算基址
RELRO	Partial	GOT 可写	GOT覆写
RELRO	Full	GOT 只读	hooks/vtable/.fini_array/FSOP
NX	开启	栈不可执行	ROP
NX	关闭	栈可执行	shellcode
Canary	有	溢出被检测	泄漏/字节溢出/BRK

常见危险函数

gets() / scanf("%s") / strcpy()  → 栈溢出
printf(user_input)               → 格式化字符串
free() 后继续使用               → UAF
read(fd, buf, size)              → 堆溢出 / 栈溢出

pwntools 模板

from pwn import *
context.binary = elf = ELF('./binary')
libc = ELF('./libc.so.6')
p = remote('host', port)  # or process('./binary')
# 泄漏 → 计算基址 → 覆写 → getshell

竞争条件利用

bash -c '{ echo "cmd1"; echo "cmd2"; sleep 1; } | nc host port'

注意事项

先泄漏再攻击：几乎所有 exploit 都依赖信息泄漏，优先找泄漏点
one_gadget 约束检查：找到 gadget 后用 one_gadget libc.so.6 列出所有，再筛选满足约束的
seccomp-tools dump：必先检查 seccomp 规则，再决定绕过方案
pwntools corefile：崩溃后自动生成 core 文件，用 cyclic_find() 精确定位溢出偏移

More from this repository

same repository

azure-pentesting

wgpsec/AboutSecurity

Azure 云环境渗透测试总体方法论。当目标使用 Azure/Microsoft 365/Entra ID、发现 Azure 相关资产（Blob Storage/App Service/Azure VM/Azure Functions）、获取 Azure 凭据（Service Principal/Managed Identity/Access Token）、或需要对 Azure 环境进行安全评估时使用。提供从未授权枚举到 Entra ID 攻击、服务提权、Cloud-to-OnPrem 横向移动的全流程决策树。覆盖 35+ Azure 服务攻击面

2026-05-311.4k

gcp-exploit

wgpsec/AboutSecurity

GCP 云环境攻击方法论。当目标使用 Google Cloud Platform、发现 GCP Service Account/Metadata/Storage Bucket 时使用。覆盖 Metadata 服务利用、Service Account 密钥窃取、IAM 提权、GKE 逃逸、Storage Bucket 枚举

2026-05-211.4k

gcp-pentesting

wgpsec/AboutSecurity

GCP 云环境渗透测试总体方法论。当目标使用 Google Cloud Platform、发现 GCP 相关资产（GCS Bucket/Compute Engine/Cloud Functions/GKE）、获取 GCP 凭据（Service Account Key/OAuth Token/Metadata Token）、或需要对 GCP 环境进行安全评估时使用。提供从未授权枚举到提权、后渗透、GCP-to-Workspace 穿越的全流程决策树。覆盖 37+ GCP 服务攻击面

2026-05-211.4k

serverless-attack

wgpsec/AboutSecurity

Serverless/云函数安全测试与攻击。当目标涉及 AWS Lambda、腾讯云 SCF、阿里云 FC、Azure Functions 等 Serverless 服务时使用。当发现 API Gateway 后端是 Lambda/SCF 触发、通过 cloud-aksk-exploit 获取到函数操作权限、或需要分析云函数代码中的漏洞时使用。覆盖事件注入（HTTP/OSS/消息队列触发器参数篡改）、环境变量泄露（硬编码凭据提取）、函数代码注入/覆盖（UpdateFunctionCode）、Runtime 利用（/tmp 写入/Layer 劫持/依赖投毒）、临时凭据滥用。发现任何 Lambda/SCF/云函数、API Gateway、或 Serverless 架构时都应使用此 skill

2026-05-211.4k

tencent-pentesting

wgpsec/AboutSecurity

腾讯云渗透测试方法论。当目标使用腾讯云服务、发现 cos.*.myqcloud.com 资产、获取腾讯云 SecretId/SecretKey、在 CVM 实例内可访问 metadata.tencentyun.com 元数据、或需要对腾讯云 CAM/CVM/COS/TencentDB/TKE/SCF 等服务进行安全评估时使用。覆盖 CAM 提权、CVM 接管、COS 对象存储利用、TencentDB 数据库攻击、TKE 容器集群、SCF 云函数、CLB 负载均衡、CLS 日志服务、KMS 密钥管理

2026-05-211.4k

java-injection-audit

wgpsec/AboutSecurity

Java 源码注入类漏洞审计。当在 Java 白盒审计中需要检测注入类漏洞时触发。覆盖 6 种注入: SQL 注入(JDBC/MyBatis/Hibernate/JPA)、命令注入(Runtime.exec/ProcessBuilder)、 SSRF(HttpURLConnection/OkHttp/RestTemplate)、LDAP 注入、SpEL/OGNL 表达式注入、NoSQL 注入(MongoDB)。需要 java-audit-pipeline 提供的数据流证据(EVID_*)作为审计输入。

2026-05-211.4k

Source

wgpsec

wgpsec/AboutSecurity

View GitHub Repository View Creator Repositories

Install command

Download

Run Skill in Manus

Useful forSOC

Computer Occupations, All OtherComputer and Mathematical Occupations15-1299L4

name	ctf-pwn
description	CTF 二进制漏洞利用(Pwn)技术。当挑战提供 ELF/PE 可执行文件并开放 nc 端口、存在栈溢出/堆溢出/格式化字符串/UAF 漏洞时使用。覆盖 ROP 链构造、堆利用(tcache/House of Orange/Spirit)、内核利用、seccomp 沙箱逃逸、pwntools 自动化利用脚本编写
metadata	{"tags":"ctf,pwn,binary,exploit,overflow,rop,heap,kernel,shellcode,格式化字符串","category":"ctf"}

CTF 二进制漏洞利用 (Pwn)

深入参考

以下参考资料按漏洞类型组织，按需加载：

漏洞类型	skill 引用
栈溢出 / ret2win / Canary绕过	references/stack-overflow.md
格式化字符串 / 泄漏 / GOT覆写 / Blind Pwn	references/format-string.md
堆(UAF/double free/tcache/House of X)	references/heap-exploitation.md
ROP(ret2csu/ret2libc/SROP/seccomp绕过/RETF)	references/rop-techniques.md
内核堆喷 / tty_struct / userfaultfd / modprobe_path	references/kernel-exploitation.md
KASLR / KPTI / SMEP / SMAP / FGKASLR 绕过	references/kernel-bypass.md
自定义VM / JIT / 类型混淆 / FSOP / Windows / ARM	references/advanced-pwn.md
Python沙箱 / FUSE / Busybox / 受限Shell	references/sandbox-escape.md
栈溢出基础 / 结构体覆写 / 有符号整数 / Canary	references/overflow-basics.md
ROP链构造 / ret2csu / XOR编码 / shellcode	references/rop-and-shellcode.md
高级ROP / 双栈迁移 / UTF-8 SROP / RETF绕seccomp	references/rop-advanced.md
堆技术(House of Apple2/Einherjar/自定义分配器)	references/heap-techniques.md
堆FILE结构(fastbin→stdout/vtable劫持/glibc 2.24+)	references/heap-fsop.md
内核基础(环境/堆喷结构/栈溢出/提权原语)	references/kernel.md
内核技术(tty_struct/userfaultfd/SLUB/Panic泄漏)	references/kernel-techniques.md
高级利用2(字节码/io_uring/整数截断/GC)	references/advanced-exploits-2.md
高级利用3(栈变量重叠/1字节溢出/GOT覆写)	references/advanced-exploits-3.md
高级利用4(Windows SEH/ARM Thumb/Forth/GF(2))	references/advanced-exploits-4.md
高级利用5(Chip-8模拟器/浮点Canary/Bloom Filter)	references/advanced-exploits-5.md
Pwn 实战笔记(堆速查/利用备忘/常用命令)	references/field-notes.md

大文件目录索引 (>300行，建议先看目录定位)

format-string.md (331行)：

Format String Basics / Argument Retargeting / Blind Pwn / Filter Bypass / Canary+PIE Leak / __free_hook Overwrite / .rela.plt Patching / Game State / .bss Pivot / argv[0] Leak

kernel-bypass.md (421行)：

KASLR/FGKASLR Bypass / KPTI Bypass (4 methods) / SMEP/SMAP Bypass / GDB Debug / Initramfs Workflow / Exploit Templates

kernel-exploitation.md (398行)：

QEMU Setup / vmlinux提取 / Config Checks / Heap Spray Structures / ret2usr / kROP / modprobe_path / core_pattern / tty_struct / userfaultfd / SLUB Internals / Cross-Cache / PTE Overlap

advanced-pwn.md (591行)：

VM Exploitation / Integer Vulnerabilities / Memory Primitives / Arbitrary R/W / FSOP+Heap / Specialized (ASAN/DNS/ELF Signing/JIT) / TLS Destructor / GF(2) Gaussian / Windows/ARM/Forth

分类决策树

Pwn 题目分析？
├─ 检查保护: checksec binary
│  ├─ PIE 关闭 → 地址固定，直接覆写 GOT/PLT
│  ├─ Partial RELRO → GOT 可写 → GOT覆写
│  ├─ Full RELRO → 需找替代目标(hooks/vtable/.fini_array)
│  ├─ NX 开启 → 不能执行栈/堆shellcode → 用 ROP
│  └─ Canary → 需泄漏或用堆/字节溢出绕过
├─ 漏洞类型
│  ├─ 栈溢出
│  │  ├─ 基础 ret2win → `stack-overflow.md`
│  │  ├─ ret2libc / ROP → `rop-techniques.md`
│  │  ├─ Canary绕过 → `stack-overflow.md` + `advanced-pwn.md`
│  │  └─ 堆叠溢出 → `advanced-pwn.md`
│  ├─ 格式化字符串
│  │  └─ `format-string.md`
│  ├─ 堆(UAF/double free/tcache)
│  │  ├─ 基础 tcache poisoning → `heap-exploitation.md`
│  │  ├─ House of X/Orange/Lore → `heap-exploitation.md` + `advanced-pwn.md`
│  │  └─ FSOP → `advanced-pwn.md`
│  ├─ 内核模块
│  │  ├─ 基础环境/提权 → `kernel-exploitation.md`
│  │  └─ 保护绕过 → `kernel-bypass.md`
│  └─ 自定义 VM / JIT / 类型混淆
│     └─ `advanced-pwn.md`
└─ 利用链
   ├─ 泄漏 → 计算libc基址 → one_gadget / system / FSOP
   ├─ ROP → ret2libc / SROP / ret2dlresolve / seccomp绕过
   └─ 堆 → House of X / tcache poisoning → __free_hook / TLS dtors

保护机制速查

保护	状态	影响	绕过方法
PIE	关闭	GOT/PLT/函数地址固定	直接覆写
PIE	开启	地址随机化	泄漏 → 计算基址
RELRO	Partial	GOT 可写	GOT覆写
RELRO	Full	GOT 只读	hooks/vtable/.fini_array/FSOP
NX	开启	栈不可执行	ROP
NX	关闭	栈可执行	shellcode
Canary	有	溢出被检测	泄漏/字节溢出/BRK

常见危险函数

gets() / scanf("%s") / strcpy()  → 栈溢出
printf(user_input)               → 格式化字符串
free() 后继续使用               → UAF
read(fd, buf, size)              → 堆溢出 / 栈溢出

pwntools 模板

from pwn import *
context.binary = elf = ELF('./binary')
libc = ELF('./libc.so.6')
p = remote('host', port)  # or process('./binary')
# 泄漏 → 计算基址 → 覆写 → getshell

竞争条件利用

bash -c '{ echo "cmd1"; echo "cmd2"; sleep 1; } | nc host port'

注意事项

先泄漏再攻击：几乎所有 exploit 都依赖信息泄漏，优先找泄漏点
one_gadget 约束检查：找到 gadget 后用 one_gadget libc.so.6 列出所有，再筛选满足约束的
seccomp-tools dump：必先检查 seccomp 规则，再决定绕过方案
pwntools corefile：崩溃后自动生成 core 文件，用 cyclic_find() 精确定位溢出偏移