歇马

摘要： 比如说 把puts(str)的.got.plt的地址的值改为system函数地址 格式化字符串的综合利用 可以使用任意地址读取，获取当前函数的实际地址，从而可以获得libc的基地址 利用libc基地址+偏移地址 可以知道其他函数地址 利用任意地址写入，从而配合got hijacking更改已有函数地 阅读全文

摘要： printf(“%s %d %x”,str,n,addr) 格式化字符串漏洞 错误的使用方式，直接将使用者的输入作为fmt使用 printf(str) 使用%x会造成栈上的信息泄露 可以使用 $ 来控制leak的位置 Use fmt: 读的话，我们可以读cancary 可以读实际地址 计算libc的 阅读全文

摘要： pwn1针对Alarm clock进行处理修改程序的16进制数值 Hook函数 将alarm函数替换掉在linux下使用命令 sed -i s/alarm/isnan/g ./pwn1 检查保护机制checksec --file ./pwn1NX 数据保护权限 可写的不可执行查看编译file ./pwn1./pwn1: ELF 32-bit LSB executable, Intel 80386... 阅读全文

摘要： Stack Migration 栈转移 没有直接打印函数的实际地址，就自己调用puts函数。给puts函数对应的地址，可以将地址的值打印出来 函数解释 p32()主要是对整数进行打包，就是转换成二进制的形式，比如转换成地址。p32、p64是打包，u32、u64是解包。 反弹shell r.send( 阅读全文

摘要： 1.call 这个命令是访问子程序的一个汇编基本指令。也许你说，这个我早就知道了！别急请继续看完。 call真正的意义是什么呢？我们可以这样来理解：1.向堆栈中压入下一行程序的地址；2.JMP到call的子程序地址处。例如： 00401029 . E8 DA240A00 call 004A3508 阅读全文

摘要： Context context(arch = 'i386', os = 'linux'，log_level='debug') 设置目标机的信息 arch设置架构为amd64，可以简单的认为设置为64位的模式，对应的32位模式是’i386’ log_level设置日志输出的等级为debug，这句话在调 阅读全文

摘要： 如果不是静态编译，通常不会有int 0x80。意思就是，没有int 0x80 构造的堆栈再好，也无法运行 动态编译会载入整个shared library stack overflow时可以直接构造function调用函数 有了函数地址，就可以直接拿来调用 Address = base + offse 阅读全文

摘要： 使用qira时报错 qira -s ./file /root/qira-1.2/middleware/qira_webserver.py:41: ExtDeprecationWarning: Importing flask.ext.socketio is deprecated, use flask_ 阅读全文

摘要： Protection ASLR DEP PIE StackGuard ASLR DEP PIE StackGuard ASLR 地址随机化 Address Space Layout Randomization，程序每次执行时，stack、heap、library的位置都不一样 $:ldd /bin/ 阅读全文

摘要： Buffer Overflow因为程序本身没有正确检查输入数据的大小，造成攻击者可以输入比buffer还要大的数据，使得超出部分覆盖程序的其他部分，影响程序执行。Stack Overflow 利用方式简单，可以直接覆盖return address和控制参数Vunlnerable FunctiongetsscanfstrcpysprintfmemcpystrcatReturn to Text控制程序... 阅读全文

摘要： From Codes to Executables 编译 gcc file.c-o exe_file –m32生成可执行文件 objdump –d –M intel file //-d 反汇编 这两条必备 函数的返回结果放在eax中，相当于return 0； 804841f: 68 c0 84 04 阅读全文

摘要： main(){F1(arg1,arg2)…printf(); //这个printf 的地址就称为返回地址 return address}push arg2push arg1call F1在执行F1函数之前，首先要将返回地址入栈，然后进入函数。mov esp,ebppop ebpret非常关键的一张图 溢出后向下覆盖，覆盖返回地址ret addr函数执行完 EBP和ESP相等mov esp,ebp... 阅读全文

摘要： 2018-02-18 15:44:34 Open Write Read open函数 阅读全文

摘要： 2018-02-17 18:50:11 ESP 栈顶指针 EBP 栈底指针 int a=0 #初始化全局变量 存放在data段中 #最常见的写法 保证ebx中字符串最后一位是0 xor ecx,ecx #实现对ecx的间接赋值为0 objcopy -O binary a.o code #把生成的二进 阅读全文

摘要： PWN入门使用 2018-02-16 16:10:23 GDB是一个由GNU开源组织发布的、UNIX/LINUX操作系统下的、基于命令行的、功能强大的程序调试工具。 敲gdb进入gdb-peda file pwn1 #选择加载的文件 gdb -q # -q 静默模式 gdb: r(run ) #执行 阅读全文