摘要:
保护模式阶段测试说明 感谢hambaga师傅的博客 要求 给定一个线性地址,和长度读取内容 这个其实就是造轮子,先咕咕咕了 申请长度为100的DWORD的数组,且每项用该项的地址初始化 // Task_Segment.cpp : Defines the entry point for the con 阅读全文
摘要:
阅读全文
摘要:
[V&N2020 公开赛]easyTHeap 现在会泄露libc了,但利用还是不太会,对结构体还不是熟悉,这也是第一次写tache,过两天再写一次 保护检查 程序分析 add函数,创建一个chunk,可以执行7次 edit函数,有null字节溢出 show函数,打印 delete函数,可以执行3次, 阅读全文
摘要:
[V&N2020 公开赛]simpleHeap 安全检查 保护全开 程序流程分析 add函数 输入size,在填充内容,有null字节溢出 edit函数 my_input有单字节溢出,说明可以overlapping show函数 打印内容 delete函数 没有什么问题 漏洞利用分析 edit有单字 阅读全文
摘要:
FastBins 大小在(64位平台)0x20~0x80之间,当chunk的大小在fastbin之间的时候,当释放时,会直接放入fastbin中。 fastbin是用fd来进行遍历的,所遵循的数据结构是后进先出(fd代表下一个chunk的地址) malloc 如果申请的 chunk 的大小位于 fa 阅读全文
摘要:
invlpg汇编指令用来无效指定线性地址的单个TLB表项无效 阅读全文
摘要:
程序分析 先检查下保护,64位程序,只有基本的栈保护 create_heap函数,先创建一个大小为16的结构体,两个成员一个是int size,另一个是char* content edit_heap()函数,有单字节的溢出 show_heap()函数,打印函数 delete函数,看起来没什么问题 思 阅读全文
摘要:
附:找到pdt:pde最后一个看看是否有物理页 1:)给0线性地址挂上物理页 打开windbg查看cr4 查看0的物理地址,发现没有挂物理页 利用写出代码,打印b的地址,并且把b的物理页也打印出来 将0号地址修改为跟b的相同的物理页上 打印相应地址的值 2:)逆向MnIsAddressValid 源 阅读全文
摘要:
2-9-9-12分页 实验代码 拆分12ff7c 000000 0000 0000 0000001 0010 1111 12f1111 0111 1100 f7c 然后查找 由于是8字节一个了所以乘以8而不是乘以4 在填入偏移,显示的是a,修改其值为100 修改后 在运行程序 知识点 1、其实跟10 阅读全文
摘要:
MmIsAddressValid 作用:用来判断某个线性地址是否被挂了物理页 说人话!!!! 就是说线性地址是否有效 先到windbg看看源码,静态分析一下 入口部分 1 nt!MmIsAddressValid: 2 804e2f46 8bff mov edi,edi 3 804e2f48 55 p 阅读全文