摘要:
#栈介绍 在程序运行中用于保存函数调用信息和局部变量,程序的栈是从进程的虚拟地址空间的高地址向低地址增长的。 ##x86和x64传参 x86:函数参数在函数返回地址的上方。 x64:前六个参数一次保存在rdi、rsi、rdx、rcx、r8、r9寄存器中,如果还有更多的参数的话才会保存在栈上。 x64 阅读全文
摘要:
#介绍 ret2_dl_runtime_resolve技术其实就是对重定位函数_dl_runtime_resolve(link_map_obj, reloc_index)运用rop技术 ##原理介绍 #include <unistd.h> #include <stdio.h> #include <s 阅读全文
摘要:
#简介 ELF(Executable and Linkable Format)文件,是linux中的目标文件,主要以下三种类型 1.可重定位文件(Relocatable File):包含由编译器生成的代码以及数据。链接器会将它与其他目标文件链接起来从而创建可执行文件或者共享目标文件。在Linux系统 阅读全文
摘要:
#介绍 在C中,整数有短整型 (short),整型 (int),长整型 (long)三种类型,如下所示: 类型 字节 范围 short int 2byte(word) 0 ~ 32767(0 ~ 0x7fff) -32768 ~ -1(0x8000 ~ 0xffff) unsigned short 阅读全文
摘要:
##exp from pwn import * context.binary = './b0verfl0w' #io = process('./b0verfl0w') io = remote('node3.buuoj.cn','27459') jmp_esp = 0x8048504 shellcod 阅读全文
摘要:
##exp from pwn import * #context.log_level ='debug' elf = ELF('./oneshot_tjctf_2016') #io = process('./oneshot_tjctf_2016') io = remote('node3.buuoj.c 阅读全文
摘要:
##思路 利用unlink分配到存储chunk的ptr数组处,改chunk的地址为got表地址即可泄露libc,然后通过edit函数将atoi_got改为system函数的地址,让程序再次执行atoi,并输入参数"/bin/sh\x00",即执行system("/bin/sh")拿shell。 ## 阅读全文
摘要:
##exp 有seccmop沙箱,只有几个函数可用,首先想到的思路是用orw打印flag。栈溢出长度有限写不下完整orw,但是题目栈和mmap分配的区域都可写可执行,我们只要通过jmp rsp控制程序流执行完整row即可 from pwn import * io = process('./idaid 阅读全文
摘要:
##realloc的特点 他的基础功能是改变mem_address所指内存区域的大小为newsize长度。这里就有几种不同的情况 1.当size为0,这时就相当于free()函数,同时返回值为null 2.当指针为0,size大于0,相当于malloc函数 3.size小于等于原来的size,则在原 阅读全文
摘要:
#FILE结构 FILE在linux系统的标准IO库中是用于描述文件结构的,称为文件流。FILE结构在程序执行fopen等函数时会进行创建,并分配在堆中。我们常定义一个指向FLLE结构的指针来接收这个返回值。 FILE结构定义在libc.h中,如下所示 struct _IO_FILE { int _ 阅读全文
摘要:
##exp 有格式化字符串漏洞,泄露got表地址,改sprintf为one_gadget,当函数再次调用sprintf即可拿shell。(使用格式化漏洞任意写的时候注意printf已经先输出了9个字符,要减去) from pwn import * #context.log_level = 'debu 阅读全文
摘要:
##exp 简单栈迁移 from pwn import * #context.log_level = 'debug' io = remote('node3.buuoj.cn',27019) #io = process('./ACTF_2019_babystack') #io = process('. 阅读全文
摘要:
#实验内容 ##webgoat安装 下载webgoat-container-7.0.1-war-exec.jar(链接) 使用命令运行webgoat。 java -jar webgoat-container-7.0.1-war-exec.jar 在主机浏览器中输入 http://kaliIP:808 阅读全文
摘要:
实验内容 Web前端HTML kali命令行输入命令开启Apache服务器 在目录/var/www/html下可以编辑自己的html网页。 test.html 在主机浏览器中输入kali ip/test.html即可访问自己编写的网页。 Web前端javascipt 在html中嵌入javascip 阅读全文
摘要:
实践内容 本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。具体实践有: 简单应用SET工具建立冒名网站 设置apache服务器的监听端口(默认80一般不用修改) 开启服务。 Setoolkit是一个开源的社会工程学工具包,打开Setoolkit。 使用方法与其他集成工具大 阅读全文
摘要:
#堆溢出 堆溢出是指程序向某个堆块中写入的字节数超过了堆块本身可使用的字节数,因而导致了数据溢出,并覆盖到物理相邻的高地址的下一个堆块。 ##前提 程序向堆上写入数据 写入的数据大小没有被良好地控制 ##利用思路 1.覆盖与其物理相邻的下一个chunk的内容。 2.利用堆中的机制(如unlink等) 阅读全文
摘要:
200175219罗乐琦 个人贡献 1.c解析asn1 2.openssl API学习使用 3.实现最终软件的解析部分 4.软件测试 设计中遇到的问题 1.openssl API比较难找 解决:在参考多个文档和博客后学会了API的正确使用方式。 2.没有接触GUI编程。 解决:我们小组的闵天同学编码 阅读全文
摘要:
实践内容 一个主动攻击实践,如ms08_067 攻击机:Linux kali 4.19.0 kali1 amd64 ip:192.168.160.150(NAT) 靶机:metasploitable linux 2.0.0 ip:192.168.160.151(NAT) 利用漏洞:UnreallRC 阅读全文
摘要:
#内存释放free Public_fREe() void public_fREe(Void_t* mem) { mstate ar_ptr; mchunkptr p; /* chunk corresponding to mem */ void (*hook) (__malloc_ptr_t, __c 阅读全文
摘要:
#malloc 一个月没有接触堆题,对堆的一些机制有点生疏了。重新梳理一下malloc跟free的源码。malloc()函数在源代码中使用宏定义为public_mALLOc()。public_mALLOc()函数只是简单的封装_int_malloc()函数,_int_malloc()函数才是内存分配 阅读全文