有关知识在aarch64中： X29相当于rbp寄存器。 X30寄存器中保存程序的返回地址，当ret时，会将X30中的地址给PC寄存器。 通过X0-X7寄存器传参。 ldr：Load Register（加载寄存器） ldr x0, [sp, #0x18] 这条指令的含义是将栈指针 (sp) 加上偏移量 0x18 所指向的内存地址中的数据加载到寄存器 x0 中。 ldr x0, [sp], #0x18 这条指令的含义是将栈指针 (sp) 所指向的内存地址中的数据加载到寄存器 x0 中，然后将sp增加偏移量 0x18。 本题泄露的got地址只有三字节，其实是“\x00”截断，需要我们加上0x4000000000。 分析 先泄露libc，再栈溢出ret2libc。 这里我们在ropper中找到一个gadget：ldr x0, [sp, #0x18]; ldp x29, x30, [sp], #0x20; ret; 思路：将/bin/sh传给X0，将system传给X30。按照x64来说，我们会这样构造：prdi binsh system 但是这道题传参并不是紧紧邻接的。我们调试一下 ...

环境搭建附件下载：http://download.vivotek.com/downloadfile/downloads/firmware/cc8160firmware.zip 固件解包binwalk -Me .pkg文件解包完后，发现文件系统存在路径为_CC8160-VVTK-0113b.flash.pkg.extracted/_31.extracted/_rootfs.img.extracted/squashfs-root 查找漏洞程序httpd：sudo find . -name httpd查看文件类型：file httpd32位的arm程序，小端，动态链接，没有符号表 运行服务将qemu-arm-static复制到当下目录；cp /usr/bin/qemu-arm-static . 由于是arm架构下的程序，我们不能直接运行，需要使用qemu模拟。依次输入以下指令，设置好运行环境： # 程序挂载sudo mount -o bind /dev ./devsudo mount -t proc /proc ./proc# 更换程序运行的根目录chroot . ./qemu-ar ...

信息查询数据库名的查询select database(); 数据库版本防火墙的绕过会涉及。 select version(); 判断字符型还是数字型注释符：“#” “–+” “%23” 方法1：使用 and 1=1 和 and 1=2 来判断 比如对于lab1，我们提交?id=1 and 1=1 或者?id=1 and 1=2都能正常显示界面，则不可能是数字型注入，即为字符型注入。对于lab1，我们提交?id=1 and 1=2都不能正常显示界面，则为数字型注入。 如果是数字型注入，那我们就不需要测试闭合方式，否则还需要判断闭合方式：' " ') ")。 方法2：使用 id=2-1 数字型是可以进行运算的，那么就相当于是id=1。 注意：最好不用 + ，在URL编码中通常会使用 + 或 %20 来代替空格，解码会把 + 编码为空格。所以有时我们也可以用 + 绕过空格限制。 对列数的判断unionselect * from users where id=1 union select 1,2,3; 增加union后面的数字，当报错说明超过最大列 ...