有些时候 pwn 题目中为了增加难度(实际是为了恶心选手),会使用类似 seccomp 的函数来禁用一部分系统调用,往往会把 execve 这种系统调用禁用掉,基本上拿 shell 是不可能了,但是我们 pwn 题是面向 flag 的,所以还是可以通过 orw( open-read-write )的方法来读出 flag 的。在栈上的 orw 和 普通 rop 其实没有什么特别大的区别,这里主...
学习堆利用也有一段时间了,基本上就是在和 fastbin 和 unsorted bin 打交道,最近这段时间 tcache 的题也做了一些。套路居多,想想还是应该总结一下。不会写的太详细,也可能无法写全。Unsorted Bin这大概是我接触的最早的 binunlink这是一个比较简单、比较模板化的利用,unlink 也可以在 small bin 上生效,但是碰到的大多都处在 unsorte...
这其实是一个很简单很枯燥的问题,许多题中都会用到,但是我发现好像并没有文章以该方法为主角介绍该方法,也没有对其原理做出详细解释。估计是大佬们都觉得这个问题太简单了不愿意费时间来写,而回想过去,做题时总是会记得有这样一个利用方法,但是却找不到具体的利用原理。所以我就来细讲一下这个问题。Unsorted Bin 在管理时为循环双向链表,若 Unsorted Bin 中有两个 bin,那么该链表结...
### 值得注意的东西#### 与exp的动调在 exp 中先指定 terminal,即添加一句```python context.terminal = ['tmux','splitw','-h'] ```然后在创建进程变量后,添加```python gdb.attach(proc.pidof(sh)[0]) #这里的sh是进程变量 ```这样调试时先打开tmux,然后就可以动态调试了###...