- 博客(4)
- 收藏
- 关注
RSS订阅原创 xyctf_hello_world之%s泄露 libc
PIEPIE技术是一个针对代码段(.text)、数据段(.data)、未初始化全局变量段(.bss)等固定地址的一个防护技术,如果程序开启了PIE保护的话,在每次加载程序时都变换加载基地址,从而不能通过ROPgadget等一些工具来帮助解题。
2024-04-30 19:32:33
225
原创 ret2csu的利用
64位的动态连接文件一般有一段万能的gadget,里面可以控制rbx,rbp,r12,r13,r14,r15以及rdx,rsi,edi的值,并且还可以call我们指定的地址。可以看到上面两端汇编几乎囊括了传参的寄存器,而且还有call指令以及retn,我们可以利用这两段gadget来传参和调用,因为我们要先调用下面一段来传参,所以我们认为下面一段为gadget1,上面一段为gadget2。上面在调用了gadget1后又填充了a*8,因为寄存器是用sp指针来传参的,所以rsp要正确指向寄存器。
2024-04-19 22:17:21
489
原创 关于ret2libc 的泄露 puts(64位)+write(32位)
这里提醒一下读者,一定要注意数据的接收顺序来编写recvuntil,笔者在这里卡了好久。这里还要注意栈对齐,要用寄存器多绕一步来维持栈平衡。开始找算偏移和构造system和binsh 的地址。同样还是找不到system 也没有flag等字符。也没有flag的字符,初步认为要泄露libc。很简单 read 函数存在明显的栈溢出。用ROR-gadget寻找合适的寄存器。这里要注意write函数要传入三个参数。接下来开始payload的构造。泄露出地址之后开始寻找版本。泄露出read的真实地址。
2024-04-05 21:53:20
663
原创 Canary 的绕过方法
Canary设计其低字节为\x00,本意是阻止被read、write等函数直接将Canary读出来。\x00二话不说,上题基础检查发现canary丢入ida中发现在循环printf,并且存在字符串漏洞(这个稍后再谈)同时有getshell函数可以直接拿shell接下来就是找canary到栈顶的偏移有两种方法,这里先介绍第一种看汇编语言跟进这段函数的汇编发现 多了一段异或比较可以判断canary在var_c里,所以buf 到canary的偏移为0x70-0xc。
2024-03-31 00:48:45
1430
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人