- 博客(3)
- 收藏
- 关注
RSS订阅原创 wkctf比赛wp-[pwn]
3、但是这样我们就破坏了堆的结构,这样的后果就是我们没法再malloc chunk了,所以我们需要修复chunk的结构,我们需要修复两个地方,一个是main_arena+88的位置,一个是unsort bin中chunk的fb和bk。2、show函数只能泄露8个字节,我们可以使用unsort bin attack ,将我们的chunk_list中的一个地址链上一个堆地址,然后show就可以泄露堆地址了。我们查看代码逻辑,发现存在一个格式化字符串漏洞,然后我们通过调试,发现我们输入两个数字,只会去第一个。
2024-08-14 21:58:30
759
原创 栈迁移的简单利用
32位的有点特殊,我们第一次输入的和第二次的相差太远,没法找到一个这个大的pop地址,所以我们就通过劫持第二次的read函数,不劫持他输入的长度,然后他的长度就会很大,我们就可以利用了。我们首先要知道一块空闲内存,或者我们泄露一个栈地址,然后我们在调用read函数将我们的rop或者orw写入到我们我们泄露的地址上去,再将栈迁移过去,从而劫持程序的控制流程。2、然后我们通过栈溢出,调用read函数增大我们的读取的大小,然后将我们的orw进行读入、将我们的执行流程迁移到我们写入的位置。我们通过两次leave;
2024-07-10 16:19:21
1814
原创 2024年春秋杯夏季赛pwn-Writeup
当我们输入3的时候就会进入sub_1CFB函数中,我们进入函数发现他会将我们输入的第一个字节的数取出来作为funcs_1B86函数的偏移,然后在a1 x02808的地方加一。4、第三个参数,我们要算偏移,然后我们输入的第三个参数加上0x502,之后可以得到我们第四个字节的内容(我们通过观察,我们只要让最后的数值为0x104就可以拿到第四字节的)我们进入sub_189C函数,发现他会在我们输入的数值最后加上一个\x00,我们就可以通过这个特性来绕过密码的判断,因为是通过strlen来判断长度的,
2024-07-09 18:30:27
2379
5
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人