喵喵喵喵

ret2libc对策 – ASLRASLR(Address Space Layout Randomization) 主要是地址随机化 现代Linux内核中默认开启 ret2libc成功的原因是，libc之类的读取地址是固定的 因此如果每次运行时，libc之类的地址随机，是一个比较好的方式 miao# echo 2 > /proc/sys/kernel/randomize_va_... 続きを読む…

ret2plt链的问题点 如果想要使用的函数不在PLT中，则无法构成链 ret2libc img 绕过NX2 - ret2libc想要使用的函数不在PLT时，应该怎么办？ 源代码... 続きを読む…

下载源码包https://www.openwall.com/php_mt_seed/php_mt_seed-4.0.tar.gz 编译直接编译会报错，缺少openmp 可以去掉这... 続きを読む…

PLT与GOTPLT(Procedure Linkage Table)与GOT(Global Offset Table) ELF文件调用库函数时，存在PLT入口和GOT入口 注意，静态链接库没有这些 是一种在libc.so等动态查找外部函数地址的机制 PLT解析外部地址，之后保存(缓存)在GOT中 如果有PLT入口，就可以在不知道函数实际地址的情况下去调用它 PLT作为代理跳... 続きを読む…

漏洞类型及攻略方法全写出来不太可能，图示大概这样： Stack以x86环境为例 每个进程在内存区域底部都有一个stack ... 続きを読む…

总结 这一次，主要解决与堆密切相关的漏洞 还有很多其他类型的漏洞 例如栈溢出，很有名并且很容易找到 条件竞争，整数溢出这类稍微有点难找 简单介绍一下其他漏洞 其他类型的漏洞栈缓冲区溢出 当输入数据超出栈上分配的内存末尾时，会产生这种溢出 可以通过重写返回地址来控制后续操作 如果启用了canary保护，那么会检测到stack被更改 特别情况，仅能超出一个元素，被称为Off-By-One ... 続きを読む…

考虑Unlink Attack分配260字节后堆是这样的 这次为了详细说明，图中也显示size memcpy()造成溢出 array[11]现在是使用中状态，可以通过堆溢出使其... 続きを読む…

Setup 下载题目文件到Linux系统环境中 http://shell-storm.org/repo/CTF/Defcon-22-quals/heap-1/ 文件名有点长，做下重命名 mv babyfirst-heap_33ecf0ad56efc1b322088f95dd98827c heap 赋予运行权限 chmod +x heap 运行 ./heap 不能运行的... 続きを読む…

fastbins为了高速化而实现的机制 www.valinux.co.jp/technologylibrary/document/linux/malloc0001/ bins和fastbins 之前提到过libc中存在一个为了快速搜索free区域而存在的链表 这是arena(malloc_state构造体)中存在的列表头 free状态的chunk根据相似大小来管理，因此会有多个列表 ... 続きを読む…

特殊的Unlink AttackUnlink Attack的应用 HITCON CTF 2014上，有一道只有三支队伍解出的题目 Pwnables 550 - stkof 解出题目的是以下三支队伍： tomcr00se PPP teamlol 介绍一下用于解决这道题目的技术 这道题目是x86_64的二进制程序，但我会用x86的内存布局来说明它 注意，实际的二进制中，各个区域都是... 続きを読む…