- 博客(4)
- 收藏
- 关注
RSS订阅原创 2.27 house of botcake
2.23-2.39 都有double free 针对fastbin2.27-2.35 tcachebin引入之后没有double free,但是可以有其他方式来间接实现double free理论上的double free:free 0xa0大小的堆块进入tcachebin 满7个(实际下标为0-6),free第8个同大小堆块时则会进入unsortedbin,这时从tcachebin申请回来一个堆块,再free第8个堆块,就进入了tcachebin,这样实现了理论上的double free,但是实际上这样操作
2024-05-31 21:42:32
1503
1
原创 pwn相关知识点
如图为puts函数汇编代码开头一部分,可以看到在执行strlen函数之前rdi寄存器是没有被改变的,一直是puts()函数接收的数据那么我们就可以利用修改strlen函数的got表,使之找到system,那么我们在使用puts函数的时候只需要把原始数据'/bin/sh'发送过去,就能够执行system /bin/sh获取权限。类型,该类型是标准C库中定义的,为unsigned int类型,即无符号整数类型,但在if判断时将其转为有符号整型,而read时又为无符号整型,那就存在无符号转有符号漏洞。
2024-05-31 20:43:08
434
原创 格式化字符串漏洞和非栈上格式化字符串漏洞
int printf("格式化字符串",参量...)参数的返回值是正确输出的字符的个数,如果输出失败,返回负值参量表中的参数的个数是不定的(参数的个数可以是一个,两个,三个...)格式化字符串函数有很多,例如输入:scanf;printf输出到 stdoutfprintf输出到指定 FILE 流vprintf根据参数列表格式化输出到 stdoutvfprintf根据参数列表格式化输出到指定 FILE 流sprintf输出到字符串snprintf输出指定字节数到字符串。
2024-03-14 20:45:25
1612
原创 mprotect,ret2libc
果然是进入了mprotect函数,再ni就ni不动了,因为我们还没有填入返回地址,接下来再将返回地址修改为bss,但是到这我们只是修改了bss的权限,以及返回到bss并没有获取权限的操作,那么接下来需要再使用。然后来讲讲mprotect函数的使用规则:mprotect(起始地址(要把后三位地址换成000),长度,0-7(取决于你想把目标地址权限改成什么样儿,一般改成7:可读可写可执行))看到gets函数,那么就存在栈溢出了,shift+f12看了一下也是没有后门函数什么的。
2024-01-27 19:27:55
760
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人