SCTF2014/pwn400 writeup
很容易找到漏洞在delete函数,delete函数的外部输入直接是个指针
else if ( ptr->next )
{
q = ptr->next;
p = ptr->pre;
p->next = q;
q->pre = p;
}
..
free(ptr)
利用双链构造DWORD SHOOT,该题无可执行保护,因此让free指向shellcode即可。
from pwn