[原创]KCTF2019 被诅咒的金字塔wp-CTF对抗-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
pangpwn 雪币： 279 活跃值： (181) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	pangpwn 2 楼首先对分析过程和exp格式表示感谢~！对新手非常友好，注释一看就能懂，复现也非常容易~ 想请问一下，gadgets数组是怎么得到的？我跟踪exp猜测是先在libc中找execve函数的引用 Direction Type Address Text Up p sub_3A850+444 call execve Down p fexecve+62 call execve Down p execv+1F call execve Down p execle+B5 call execve Down p execle+148 call execve Down p execl+C3 call execve Down p execl+159 call execve Down p execvpe+41 call execve Down p execvpe+10C call execve Down p execvpe+246 call execve Down p execvpe+2E3 call execve Down p sub_D0330+7B1 call execve Down p sub_D4580+8E call execve Down p sub_D4630+268 call execve Down p sub_D4630+5FA call execve Up o LOAD:00009FA8 Elf32_Sym <offset aFexecve+1 - offset byte_D618, offset execve, 26h, \; "execve" 拿第一个举例，戳进去再把调用之前，push之后的复制下来，是这样吗 .text:0003AC5C push 0 .text:0003AC5E push [esp+164h+var_154] .text:0003AC62 push 2 .text:0003AC64 call sigprocmask .text:0003AC69 mov eax, ds:(environ_ptr_0 - 1B2000h)[esi] .text:0003AC6F add esp, 0Ch .text:0003AC72 mov ds:(dword_1B3620 - 1B2000h)[esi], 0 .text:0003AC7C mov ds:(dword_1B3624 - 1B2000h)[esi], 0 .text:0003AC86 push dword ptr [eax] .text:0003AC88 lea eax, [esp+164h+var_138] .text:0003AC8C push eax .text:0003AC8D lea eax, (loc_15BA08+3 - 1B2000h)[esi] .text:0003AC93 push eax .text:0003AC94 call execve 2019-6-30 21:34 0
xmzyshypnc 雪币： 645 活跃值： (389) 能力值： ( LV5，RANK：66 ) 在线值：发帖 5 回帖 11 粉丝 0 关注私信	xmzyshypnc 3 楼 pangpwn 首先对分析过程和exp格式表示感谢~！对新手非常友好，注释一看就能懂，复现也非常容易~[em_63] 想请问一下，gadgets数组是怎么得到的？我跟踪exp猜测是先在libc中找execve函 ... 您好，感谢您复现我的exp。这里的gadgets是通过一个名为one_gadget的开源工具得到的，官方地址为https://github.com/david942j/one_gadget，使用方法为one_gadget ./libc.so.6。即可获得gadgets。这里使用gadgets会对寄存器有一些限制条件，使用的时候要自己多试几个，有时候都不可以还是得构造system('/bin/sh')或者在堆的题里可以使用realloc_hook中转来满足gadgets的使用条件。 2019-7-3 08:32 0
pangpwn 雪币： 279 活跃值： (181) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	pangpwn 4 楼 xmzyshypnc 您好，感谢您复现我的exp。这里的gadgets是通过一个名为one_gadget的开源工具得到的，官方地址为https://github.com/david942j/one_gadget，使用方法为 ... 谢谢回复。我再研究研究开源工具再次谢谢分享。 2019-7-13 21:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
pangpwn 雪币： 279 活跃值： (181) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	pangpwn 2 楼首先对分析过程和exp格式表示感谢~！对新手非常友好，注释一看就能懂，复现也非常容易~ 想请问一下，gadgets数组是怎么得到的？我跟踪exp猜测是先在libc中找execve函数的引用 Direction Type Address Text Up p sub_3A850+444 call execve Down p fexecve+62 call execve Down p execv+1F call execve Down p execle+B5 call execve Down p execle+148 call execve Down p execl+C3 call execve Down p execl+159 call execve Down p execvpe+41 call execve Down p execvpe+10C call execve Down p execvpe+246 call execve Down p execvpe+2E3 call execve Down p sub_D0330+7B1 call execve Down p sub_D4580+8E call execve Down p sub_D4630+268 call execve Down p sub_D4630+5FA call execve Up o LOAD:00009FA8 Elf32_Sym <offset aFexecve+1 - offset byte_D618, offset execve, 26h, \; "execve" 拿第一个举例，戳进去再把调用之前，push之后的复制下来，是这样吗 .text:0003AC5C push 0 .text:0003AC5E push [esp+164h+var_154] .text:0003AC62 push 2 .text:0003AC64 call sigprocmask .text:0003AC69 mov eax, ds:(environ_ptr_0 - 1B2000h)[esi] .text:0003AC6F add esp, 0Ch .text:0003AC72 mov ds:(dword_1B3620 - 1B2000h)[esi], 0 .text:0003AC7C mov ds:(dword_1B3624 - 1B2000h)[esi], 0 .text:0003AC86 push dword ptr [eax] .text:0003AC88 lea eax, [esp+164h+var_138] .text:0003AC8C push eax .text:0003AC8D lea eax, (loc_15BA08+3 - 1B2000h)[esi] .text:0003AC93 push eax .text:0003AC94 call execve 2019-6-30 21:34 0
xmzyshypnc 雪币： 645 活跃值： (389) 能力值： ( LV5，RANK：66 ) 在线值：发帖 5 回帖 11 粉丝 0 关注私信	xmzyshypnc 3 楼 pangpwn 首先对分析过程和exp格式表示感谢~！对新手非常友好，注释一看就能懂，复现也非常容易~[em_63] 想请问一下，gadgets数组是怎么得到的？我跟踪exp猜测是先在libc中找execve函 ... 您好，感谢您复现我的exp。这里的gadgets是通过一个名为one_gadget的开源工具得到的，官方地址为https://github.com/david942j/one_gadget，使用方法为one_gadget ./libc.so.6。即可获得gadgets。这里使用gadgets会对寄存器有一些限制条件，使用的时候要自己多试几个，有时候都不可以还是得构造system('/bin/sh')或者在堆的题里可以使用realloc_hook中转来满足gadgets的使用条件。 2019-7-3 08:32 0
pangpwn 雪币： 279 活跃值： (181) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	pangpwn 4 楼 xmzyshypnc 您好，感谢您复现我的exp。这里的gadgets是通过一个名为one_gadget的开源工具得到的，官方地址为https://github.com/david942j/one_gadget，使用方法为 ... 谢谢回复。我再研究研究开源工具再次谢谢分享。 2019-7-13 21:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复