前言HeapSpray( 堆喷射 ) 已经是项非常古老的技术（相对而言）。本文介绍的大部分内容已经不具备实战意义了，但沿着前人的脚步，可以发现这种技术背后的思想和方法是非常巧妙和有效的。 由于各种各样的原因，复现的成功率还是蛮低的。 本文首先介绍下 HeapSpray 及其相关的 js 概念，并通过 ...

Sigreturn Oriented Programming，基于 signal mechanism 的内存溢出攻击 缺陷可利用： 进程 context info 及 rt_sigreturn addr 保存在用户进程栈空间，用户进程可读写 内核未判断之前保存的 signal frame 和 恢复 ...

实验环境： pwntools:3.12.1 wsl debian libc:2.24 gdb+gef,IDA checksec:1234567$ checksec ./stkof[*] './stkof'Arch: amd64-64-littleRELRO: Partial REL ...

heap null byte off-by-one 分析环境： Linux parrot 4.17.0-parrot17-amd64 #1 SMP Parrot 4.17.17-1parrot17 (2018-08-27) x86_64 GNU/Linux pwntools:3.12.1 gdb ...

堆溢出利用的精髓就是：用精心构造的数据去溢出下一个 chunk 的 header，改写 chunk header 中的前向指针 (flink) 和后向指针 (blink) ，然后在分配、释放、合并等操作发生时伺机获得一次向内存任意地址写入任意数据的机会。 unlink 利用方式就是在 free 的时 ...

最近参与了一个开源项目，Linux 内核揭秘：https://github.com/MintCN/linux-insides-zh。本文是其中的一篇关于 open 系统调用的实现的翻译。 open 系统调用实现导论本节是详述 Linux 内核中的 系统调用 机制章节的第五部分。之前的内容部分概述了这 ...

之前做的一个验证实验，直观了解下延迟绑定重定位技术。 .plt/.got.plt.plt存储的是过程连接表 (Procedure Linkege Table,PLT) 。包含了共享库函数地址解析的代码。每个 PLT entry 对应一个function的解析。 .got.plt存储着全局偏移表。每个 ...

本来是想了解下 LD_PRELOAD 注入 so 的。断断续续磕了几天，静下心来总算把程序给摸清了，有一种豁然释怀的感觉，满足。 1.前期侦测hitb_bin100.elf: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamical ...

为了更好管理更大的内存，现代操作系统和CPU硬件引入了保护模式。其中保护模式的分页机制通过内存管理单元（MMU，Memory Management Unit）实现了物理地址到线性（虚拟）地址的转换，这个转换过程也称地址翻译。而本文探讨线性地址到物理地址的转换过程，并通过实际操作来体现。 实验环境： ...

看到FreeBUF上有一篇文章逆向360极速浏览器和360首页设置加密算法，http://www.freebuf.com/articles/terminal/128902.html。当时对这个很感兴趣，想尝试一下。这里在WindowsXP下以360极速浏览器8.5.0.144为例进行分析。 从文章中 ...