前置知识 popen()函数：开启新进程执行linux命令 htons()函数：程序监听端口 漏洞分析为了便于分析，我已经将相关函数重命令了。 主函数：标准的socket交互流程，在while循环中的handle函数中处理用户输入 void __fastcall __noreturn main(int a1, char **a2, char **a3){ struct sockaddr s; // [rsp+0h] [rbp-20h] BYREF __pid_t v4; // [rsp+14h] [rbp-Ch] int v5; // [rsp+18h] [rbp-8h] int fd; // [rsp+1Ch] [rbp-4h] signal(17, (__sighandler_t)handler); fd = socket(2, 1, 0); if ( fd < 0 ) { perror("socket"); exit(-1); } memset(&s, 0, sizeof(s)); ...

手法原因：没有show函数。攻击思路：修改_IO_2_1_stdout_： 将_flags位修改为0xfbad1800 将_IO_write_base末尾字节修改为\x00 中间的变量_IO_read_ptr _IO_read_end _IO_read_base直接填充为0 p64(0xfbad1800)+p64(0)*3+'\x00' 后续程序在调用puts函数时，就会泄露出存在libc中的地址，我们找到对应的偏移就能得到libc基址。 例子题目地址： noleak 提取码: Ya0a 漏洞 strlen长度计算错误，造成堆溢出 构造堆块重叠 没有show 攻击_IO_2_1_stdout_泄露libc基址 思路 爆破攻击_IO_2_1_stdout_泄露libc基址 修改__malloc_hook为one_gadget 函数分析 expfrom pwn import *from pwn import p64,u64,p32,u32,p8from LibcSearcher import *context.terminal = ["tmux&qu ...

利用条件 泄露libc和heap地址 使用largebin attack控制_IO_list_all 能控制程序执行IO操作，包括但不限于：从main函数返回、调用exit函数 控制fakeio_file的vtable和_wide_date 使用 _flags设置为~(2 | 0x8 | 0x800)，如果不需要控制rdi，设置为0即可；如果需要获得shell，可设置为 sh;，注意前面有两个空格 vtable设置为_IO_wfile_jumps/_IO_wfile_jumps_mmap/_IO_wfile_jumps_maybe_mmap地址（加减偏移），使其能成功调用_IO_wfile_overflow即可 _wide_data设置为可控堆地址A，即满足*(fp + 0xa0) = A _wide_data->_IO_write_base设置为0，即满足*(A + 0x18) = 0 _wide_data->_IO_buf_base设置为0，即满足*(A + 0x30) = 0 _wide_data->_wide_vtable设置为可控堆地址B，即满足* ...

movaps作用：movaps 是 x86 汇编语言中的一个指令，用于处理 SIMD（Single Instruction, Multiple Data）寄存器中的浮点数据。它的主要功能是将对齐的128位浮点数据从一个位置移动到另一个位置。 要求栈16字节对齐 movupsmovups 是 x86 汇编语言中的一条指令，用于将128位浮点数据从一个位置移动到另一个位置。与 movaps 不同的是，movups 不要求数据是 16 字节对齐的，因此可以操作未对齐的数据。

函数说明.fini_array函数指针其实是一个数组指针，其中存有一系列函数指针，这些函数是main函数执行完后才会自动触发。同理，在.init_array中的函数是在main函数之前就触发，一般是用来初始化程序运行的条件。 我们的利用一般是覆盖.fini_array中函数指针，使main函数执行完后控制程序执行流到后门函数。 原理调试这里有一个test程序，用来看看.fini_array原理： #include <stdio.h>#include <stdlib.h>static void start(void) __attribute__ ((constructor));static void stop(void) __attribute__ ((destructor));int main(int argc, char *argv[]){printf("start == %p\n", start);printf("stop == %p\n", stop);return 0;}voidstart(vo ...

有关知识在aarch64中： X29相当于rbp寄存器。 X30寄存器中保存程序的返回地址，当ret时，会将X30中的地址给PC寄存器。 通过X0-X7寄存器传参。 ldr：Load Register（加载寄存器） ldr x0, [sp, #0x18] 这条指令的含义是将栈指针 (sp) 加上偏移量 0x18 所指向的内存地址中的数据加载到寄存器 x0 中。 ldr x0, [sp], #0x18 这条指令的含义是将栈指针 (sp) 所指向的内存地址中的数据加载到寄存器 x0 中，然后将sp增加偏移量 0x18。 本题泄露的got地址只有三字节，其实是“\x00”截断，需要我们加上0x4000000000。 分析 先泄露libc，再栈溢出ret2libc。 这里我们在ropper中找到一个gadget：ldr x0, [sp, #0x18]; ldp x29, x30, [sp], #0x20; ret; 思路：将/bin/sh传给X0，将system传给X30。按照x64来说，我们会这样构造：prdi binsh system 但是这道题传参并不是紧紧邻接的。我们调试一下 ...