堆利用
关注
分享
扫一扫
文章平均质量分 80
tbsqigongzi
pwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwnpwn
展开
-
realloc函数利用实现double free
ciscn_2019_es_5原创 2022-10-18 21:07:56 · 231 阅读 · 0 评论 -
利用全局chunk数组,free(负数)来实现tcache double free
ciscn_2019_ne_6原创 2022-10-17 23:16:35 · 176 阅读 · 0 评论 -
c++堆题double free
ciscn_2019_ne_2原创 2022-10-17 12:30:30 · 924 阅读 · 0 评论 -
glibc2.27堆上ORW
ciscn_2019_sw_10原创 2022-10-16 19:37:52 · 346 阅读 · 0 评论 -
堆技巧 数组反向越界泄露地址
痛苦痛苦痛苦,调了半天才找到数组起始地址,还是自己太菜了,好好记录一下这题题目给了libc,2.31的题嗯,可以考虑覆盖got表或者hook函数打开ida发现是c++的题,认真分析一下。原创 2022-09-02 11:11:29 · 325 阅读 · 0 评论 -
house of cat
2022强网杯 House of cat原创 2022-09-01 11:46:56 · 625 阅读 · 0 评论 -
off-by-one+overlapped chunk
off-by-one+overlapped chunk原创 2022-08-30 10:28:14 · 1044 阅读 · 0 评论 -
Tcache Stashing Unlink Attack(House of Lore Attack)
Tcache Stashing Unlink Attack原创 2022-08-11 23:22:45 · 572 阅读 · 1 评论 -
house of storm+堆SROP+orw
house of storm + srop + orw原创 2022-08-10 12:54:51 · 467 阅读 · 0 评论 -
House of orange
题目中不存在 free 函数或其他释放堆块的函数。原创 2022-08-07 20:55:46 · 1029 阅读 · 0 评论 -
House of storm
结合了unsorted_bin_attack和Largebin_attack的攻击技术,实现任意地址分配chunk,任意地址写。原创 2022-08-05 23:21:42 · 844 阅读 · 0 评论 -
House of einherjar
释放堆块时,unlink后向合并堆块,强制使得malloc返回一个几乎任意地址的chunk。free函数中的后向合并核心操作如下后向合并时,新的chunk的位置取决于chunk_at_offset(p,-((long)prevsize))原创 2022-07-31 15:19:50 · 488 阅读 · 0 评论 -
House of force
House of force原创 2022-07-29 14:51:27 · 221 阅读 · 0 评论 -
pwn刷题num48----syscall + ret2csu
BUUCTF-PWN-ciscn_2019_s_3首先查保护–>看链接类型–>赋予程序可执行权限–>试运行(这里为了省事,自己写了一个小shell脚本)64位程序,小端序开启部分RELRO-----got表可写未开启canary保护-----存在栈溢出开启NX保护-----堆栈不可执行未开启PIE-----程序地址为真实地址动态链接ida一下看一下主函数 这里sys_read和sys_write读取的字符串大小都大于buf的大小,存在栈溢出syscall系统原创 2022-05-04 13:59:33 · 967 阅读 · 0 评论 -
pwn刷题num47---off by one 修改size大小,造成堆块重叠,控制chunk内容指针,泄露函数真实地址,修改got表,调用system
BUUCTF-PWN-hitcontraining_heapcreator首先查保护–>看链接类型–>赋予程序可执行权限–>试运行64位程序,小端序开启部分RELRO-----got表仍可写开启canary保护-----栈溢出需绕过canary开启NX保护-----堆栈不可执行未开启PIE----函数地址为真实地址动态链接运行一下试试功能基本上就是1. 创建堆2. 编辑堆 3.显示堆 4.删除堆 5.退出ida看一下伪代码主函数就是根据选择调用不原创 2022-05-04 11:45:26 · 518 阅读 · 0 评论 -
pwn刷题num46----fast bin double free (控制free chunk的fd指针指向,栈上伪造的fake chunk,修改栈上变量值)
BUUCTF-PWN-metasequoia_2020_samsara首先查保护–>看链接类型–>赋予程序可执行权限–>试运行保护全开动态链接英文意思打败魔龙后,你变成了魔龙…… 1. 抓捕一个人 2. 吃掉一个人 3. 煮一个人 4. 找到你的巢穴 5. 转移到另一个王国 6. 自杀ida看一下伪代码主函数还有一个菜单函数观察分析main函数,switch里case1每次申请chunk大小为0x20(mem为0x10),case原创 2022-05-03 18:01:59 · 1065 阅读 · 1 评论 -
pwn刷题num45----fast fit
github题目链接这道题下载下来后需要先用patchel使用低版本的libc(我这里用的是libc2.23)加载运行,具体怎么用?看这还有这flag也是自己设置在/pwn/flag里fast fit思想如果一个chunk是空闲的并且足够大(大于用户申请的chunk大小),那么申请chunk时,就会选择这个空闲的chunk首先查保护–>看链接类型–>赋予程序可执行权限–>试运行64位程序,小端序开启RELRO-----got表不可写开启canary保护-----栈溢出需原创 2022-05-03 14:03:35 · 239 阅读 · 0 评论 -
pwn刷题num44----fast fit and UAF
题目链接–本地程序 fast fit思想如果一个chunk是空闲的并且足够大(大于用户申请的chunk大小),那么申请chunk时,就会选择这个空闲的chunk首先查保护–>看链接类型–>赋予程序可执行权限–>试运行32位程序,小端序开启部分RELRO-----got表可写未开启canary保护-----存在栈溢出开启NX保护-----堆栈不可执行未开启PIE-----程序地址为真实地址动态链接运行一下四种选择,添加一个note,删除一个note,输出一个not原创 2022-05-03 13:15:55 · 868 阅读 · 0 评论