- 博客(12)
- 收藏
- 关注
RSS订阅原创 堆利用_Use After Free
设想一下,如果我们申请0x8大小的chunk,那么他的大小刚好等于0x10,申请的时候就不会从新分配空间,而是从fastbin里面取出来,那么我们就可以对其中有一个chunk进行编辑。(有点绕,请仔细理解一下),答案是肯定的。内存块被释放后,其对应的指针没有被设置为NULL,但是在下一次使用之前,有代码对这块内存进行了修改,那么当程序再次使用这块内存时,就很有可能出现问题。内存块被释放后,其对应的指针没有被设置为NULL,在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序有可能可以正常运转。
2024-09-19 20:53:15
713
原创 堆溢出之unlink_地址任意写
我们先来回顾一下堆方面的基础知识,我们知道,当我们free一个大小超过0x90的chunk时,会检查这个chunk物理意义上相邻的前一个chunk是否是空闲状态,如果是,两个chunk会合并成一个大的chunk来合理利用空间。这里的p64(0x30)是下一个chunk的pre_size域,p64(0x90)是下一个chunk的大小,目的是为了触发unlink和绕过检查(只有一个大于0x80的chunk释放时才会触发unlink):检查与被释放chunk相邻高地址的chunk的size的P标志位是否为0。
2024-09-15 19:55:59
754
原创 Chunk Extend-overlapping_hitcontraining_heapcreator
因为这个是先free内容部分,再free掉结构体,如果我们把free改成system,内容输入/bin/sh即可getshell。通过修改chunk中的size的大小,从而让块向前或后延申,与后面的块造成重叠,来对extend的块的内容进行操作。如果进行off_by_one的话可以修改下一个heap结构体的大小,来对下一个heap的内容部分extend。可以看到这里在修改内容的时候,输入的大小比创建时多了1,造成了off_by_one漏洞。我们的edit_heap模块也是根据结构体来定位从而修改内容大小。
2024-08-21 23:12:06
225
原创 非栈上的格式化字符串漏洞(bss段)-playfmt
已buu上的hitcontraining_playfmt为例没有开FULL RELRO,也就是说got表可改,那么我们的思路就是把printf的got表改成system,输入/bin/sh即可拿到shell最终exp把libc地址抓进栈中因为libc的地址只有低8位不同,通过写入低字节把printf_got抓到栈中把print_got+2抓入栈中(把print_got改成system要一半一半的改)把printf_got改成systemnum2是计算用来进行格式字符串漏洞利用时的一个重要部分。
2024-07-22 00:00:18
883
原创 ROP之ret2alsolve(32位)详解
这几段的关系是这样的,通过link_map_obj定位.dynamic段,在通过偏移定位到.rel.plt段,.dynstr段,.dynsym段,这里的偏移程序会给,不用我们操心,然后再通过realoc_index来确定.rel.plt段对应的函数结构体,从而找到对应函数的got表位置,再通过(r_info
2024-06-18 17:37:59
741
1
原创 ciscn_s_3--retsyscall与csu的结合及srop_sigreturn的简单使用
在执行sigreturn 之后的restore context阶段,整个frame是在用户态,同时会执行大量的pop指令,这时我们就可以直接设定寄存器的值来伪造一个虚假的frame从而getshell。必须能够知道/bin/sh的地址,如果写的bss段,直接写地址就行,如果写到栈里,还需要想办法去泄露栈地址。这里基础知识就搬运ctfwiki上的了,讲解的我觉得很全面了,我也会进行添加补充讲解,便于理解。因为栈上没有/bin/sh,可以考虑read读入,结合前面有漏洞可以泄露栈上的位置,
2024-06-10 13:09:05
899
原创 canary绕过--ssp任意地址泄露
这个函数是存储栈上的环境变量的,也就是说他的指向是栈地址,如果我知道想要泄露的flag在栈上与这个函数的偏移,就可以通过这个函数泄露出flag。*** stack smashing detected ***:./pwn(程序名) terminated。存在canary,并且flag已经存在栈上,那么可以用ssp攻击打印出flag。最后gdb 调试出flag距离environ的偏移得到flag的地址。泄露出libc后就可以得到environ的地址,从而得到栈上的地址。的地址,想要泄露栈的地址,就需要用到。
2024-06-05 22:15:32
263
原创 xyctf_hello_world之%s泄露 libc
PIEPIE技术是一个针对代码段(.text)、数据段(.data)、未初始化全局变量段(.bss)等固定地址的一个防护技术,如果程序开启了PIE保护的话,在每次加载程序时都变换加载基地址,从而不能通过ROPgadget等一些工具来帮助解题。
2024-04-30 19:32:33
257
原创 ret2csu的利用
64位的动态连接文件一般有一段万能的gadget,里面可以控制rbx,rbp,r12,r13,r14,r15以及rdx,rsi,edi的值,并且还可以call我们指定的地址。可以看到上面两端汇编几乎囊括了传参的寄存器,而且还有call指令以及retn,我们可以利用这两段gadget来传参和调用,因为我们要先调用下面一段来传参,所以我们认为下面一段为gadget1,上面一段为gadget2。上面在调用了gadget1后又填充了a*8,因为寄存器是用sp指针来传参的,所以rsp要正确指向寄存器。
2024-04-19 22:17:21
823
原创 关于ret2libc 的泄露 puts(64位)+write(32位)
这里提醒一下读者,一定要注意数据的接收顺序来编写recvuntil,笔者在这里卡了好久。这里还要注意栈对齐,要用寄存器多绕一步来维持栈平衡。开始找算偏移和构造system和binsh 的地址。同样还是找不到system 也没有flag等字符。也没有flag的字符,初步认为要泄露libc。很简单 read 函数存在明显的栈溢出。用ROR-gadget寻找合适的寄存器。这里要注意write函数要传入三个参数。接下来开始payload的构造。泄露出地址之后开始寻找版本。泄露出read的真实地址。
2024-04-05 21:53:20
891
原创 Canary 的绕过方法
Canary设计其低字节为\x00,本意是阻止被read、write等函数直接将Canary读出来。\x00二话不说,上题基础检查发现canary丢入ida中发现在循环printf,并且存在字符串漏洞(这个稍后再谈)同时有getshell函数可以直接拿shell接下来就是找canary到栈顶的偏移有两种方法,这里先介绍第一种看汇编语言跟进这段函数的汇编发现 多了一段异或比较可以判断canary在var_c里,所以buf 到canary的偏移为0x70-0xc。
2024-03-31 00:48:45
1566
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人