这题拖了挺久的，因为一些知识点还不是很明白。 分析过程 checksec 保护全开 [*] '/mnt/e/sec/dasctf/ez_note/pwn' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE ena…

在glibc源码中搜索split可以找到堆块切割相关源码 在malloc.c的_int_malloc函数中发生堆块切割的情形如下： 遍历unsorted chunks时 请求满足small request last remainder 堆块是唯一堆块，且切割后剩下的仍然满足最小堆块大小 从largebin中找到最小的满足要求的堆块 切割后剩余堆块的…

NX: No Exection gcc -z execstack Canary: defeat bof, 在 return 前做 canary check - security_init() => fs:0x28 (stack guard) - canary end with \x00 gcc -fno-stack-protector: no…

为了能够调用函数，需要有一种公认的方式来传递参数。 如果程序是完全独立的二进制文件，编译器可以自由决定调用约定。 然而在现实中，会使用共享库（例如 libc）以便公共代码可以只存储一次并动态链接到需要它的程序，从而减少程序大小。 在 Linux 二进制文件中，实际上只有两种常用的调用约定：cdecl 用于 32 位，SysV 用于 64 位。 cd…

我的第一道沙盒题（竟然不能get shell！！！），主要考察栈帧分配（构造rop链）。顺便学了下pwntools rop的接口，还是挺香的。 我喜欢轮子，exp里会用比较多的轮子，建议看最终exp。 分析过程 栈帧复用 func里面写入的栈帧在check里面复用，通过检测。 io.sendafter(b'identity', …

利用限制 存在格式化字符串漏洞 每个格式化字符串只能实现一次 需要等待int长度空格的输出时间 利用原理 *可以通过参数指定格式化字符串的宽度，比如： int width = 10; char ch = 'a'; printf("|%*c|", width, ch); // output:| a| 这里就把w…

分析过程 观察栈结构 这题的关键（对我来说）就是利用栈上残留的数据。平时练的不多，没有这个习惯，导致泄露和格式化字符串利用都遇上了麻烦。 vuln函数里的栈结构如下： 00:0000│ rsp 0x7fffffffdfe0 ◂— 0x0 ... ↓ 2 skipped 03:0018│ 0x7fffffffdff8 —▸ 0x7ffff7fb55c…

背景 glibc里面有很多未导出的符号，比如一些数据变量、内部函数等等。漏洞利用时有时需要对这些符号进行定位，由于这些符号与libc偏移固定，一般的方式是通过gdb算出这些偏移。但这种方式的弊端在于不能可靠地解析不同glibc下的符号偏移，每次切换不同的libc都需要重新定位。 本文以exit hook中的__libc_atexit为例介绍一种基于…

最近学习exit hook，网上师傅分析exit hook时都一带而过，没有具体分析细节，所以这里通过看源码给大家详细分析一下几种exit hook： __libc_atexit _rtld_global _dl_rtld_lock_recursive _dl_rtld_unlock_recursive 我用的是2.31的libc源码，本文涉及源码…

安全策略 先用checksec检查安全策略 Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 运行程序 跑起来没有提示，直接下一步看看吧。 静态分析 IDA打开反编译，主函数实现了一个比较常见的菜单…