- 博客(2)
- 收藏
- 关注
RSS订阅原创 SECCON2021 kone_onegadget
比如ldw AX ,0x3c909090这样的立即数指令会被JIT优化为0x909090b8 ,那么如果我们在指令后面加入0x3c 两个相邻的内存就会变为0x3c909090b83c909090 而0xb83c90就是汇编cmp al,0xb8 nop。之后就是通过ebpf与JIT机制编写汇编的环节了,由于环境内核不支持ebpf系统调用,所以只能使用prctl进行bpf的编写。KPIT防护的绕过采用的是注册信号量的方法,异常时直接调用shell。可以看出,题目漏洞就在这个系统调用中。
2023-08-16 15:03:58
98
1
原创 ciscn_2021_pwn_lonelywolf&silverwolf
一、lonelywolf 构造double free泄露并打印堆地址,利用堆地址计算tcache_perthread_struct结构体地址 使用double free 攻击tcache_perthread_struct,修改count>7,并使得下一次申请到tcache_perthread_struct位置,并再次留下tcache_perthread_struct地址 利用tcache_perthread_struct的size free后会放入unsorted bin中,可以泄露出libc地
2021-05-18 23:06:20
879
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人