- 博客(9)
- 收藏
- 关注
RSS订阅原创 2.27 tcache破坏key 打tcache dup 例题--lonelywolf
通过tcache bin 中的double free addr<----addr fd就是addr 因此可以泄露堆地址,但由于是2.27版本后期 不难直接打double free 因为有一个key检验 那个key的值指向tcache_pthread_stuct下面0x10的位置,会检验这个key的值 如果一样就遍历一遍tcache bin 因此我们要破坏这个key 由于没有置0 直接edit 就可以了。可以看到add函数 限制了chunk块的大小在0x78以下。这里有个off by null但好像没用道、
2024-04-19 16:01:42
386
原创 unsored bin attack(非常规打法,算是进阶?)2.23版本
这里就是读入size 关键点来了,我们这里存储的实质上是v2的值也就是我们输入的size进入记录中,但是我们创造的chunk块 明显是由strdup(byte_6020c0)接受的字符作为我们实际创造的chunk值,但是我们edit的时候 读入的又是我们开始输入size的值,这里也就造成了堆溢出。这里的0x602260 通过调试是没有传上去的 我试着改为p64(0)就会报错 因为这个位置会有一个mov 传的地址,rax到上面去,所以必须得是个地址 至于是什么不重要 ,只要能访问就行。
2024-04-19 15:28:35
382
1
原创 阿里云2024 CTF pwn 签到题
定义了两个数组,通过给第二个数组赋值来绕过各种判断语句 到达漏洞函数,通过第一个漏洞函数泄露libc地址,通过第二个漏洞函数 进行栈溢出并且能够绕过canary 执行rop链。
2024-03-27 15:44:36
1658
1
原创 格式化字符串各种泄露覆盖类型 姿势具体讲解
栈上格式化字符串以下题目的条件:RELRO 保护模式不为 FULL RELRO ,GOT表需要可写FULL RELRO当开启这个之后 got表是无法修改的格式化字符串题目: 强网杯(ez_fmt)📎强网先锋 fmt.pdf通过这题还学会了利用 printf函数就是函数本身内部的返回地址,可以通过调试得到通过这道题理清了两个逻辑:这里我们是覆盖让地址的后四位为0x1203 这里传的是0x1203也就是4594+14+3+2 这里的4594就是%4594c 14指的就是%39$p泄露的地址0x7fffffff
2023-12-20 16:38:45
1204
1
原创 SICTF PWN canary
然后可以通过这个printf(v2,v1)可以明显看出是格式化字符串漏洞,因此就可以泄露地址,这里是v4存储指向flag的地址,然后fgets(v3,65,v4) 传给v3,栈上平白无故是不会存v3的地址的,除非我们输入,但是栈的地址又是随机的,因此我们先要泄露一个地址根据偏移是得到那个地址,然后传入v2。我们要的位置是在%8这里,因此我们输入%8$s 就可以泄露地址指向的字符,但是这里要注意,40$p 是4个字节,如果改成%8$s 就是8$s 就只有三个字节,这样会导致调出来是这样的。
2023-12-10 14:49:14
396
原创 2023香山杯决赛pwn(部分解)
所以要么解密要么绕过,因为这个for循环的语句的判断是v3>dword_4058 如果v3本身就是0,或者小于0,就可以绕过for循环,但是如果是00,前面讲过当*v4的值是两个00的时候,就退出while循环 然后结束输出,这个时候的距离是输出不到我们要泄露的地址的,所以我们就不能用0要用-1也就是0xffffffff。这是我们打怪的过程也就是sub_4015F7函数的执行效果,发现一个关键的地方,是我们先发起攻击!通过调试我们就可以通过这个泄露的东西来,通过这个地址我们就可以任意泄露我们想要的东西,
2023-12-10 08:41:59
943
1
原创 Tableau学习笔记一
3、创建电影评分的直方图(按此命名),数据间距为0.5分,修改底部数字标签,以实际评分区间为底部标签数值,标签要显示完整,并分析电影评分直方图。条形图(按此命名工作表),要求为横向条形图,按照升序排列,条形图顶部要有标签(要全部显示),选择整个视图将图表充满整个视图区,并给出分析结论;分析:从图中可以看出,大多数电影在5.5-8.0之间,只有少部分能达到顶尖,低于3.0以下评分的电影也很少。1.电影发源最多的地方是美国,最少的地方是巴西。1、导入“豆瓣电影数据.xlsx”文件;
2023-12-02 08:44:32
505
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人