pwn的堆学习笔记(二)–cgctf note
今天来做下学校平台的pwn的note。
0x0 攻击思路
首先拖进ida,看到有
puts("1.add");
puts("2.show");
puts("3.edit");
puts("4.delete");
puts("5.exit");
printf("choice>>");
很标准的note,edit可以在堆被释放后仍然可以做到使用这个堆,而free可以用来触发uaf或者double free。
之后就可以根据任意读或者任意写来完成攻击。//直接覆写
本来想覆写puts成system后再执行show来达到system(’/bin/sh’)但是脚本报错了,所以最后是参考了骑驴大哥覆写malloc_hook后再malloc来直接完成的思路。
0x1 攻击原理
1,uaf跟doublefree
其实这俩个原理差不多,都是在利用一个堆块在被以及free的情况下,或者在这个堆块处于fastbin的队列中的时候,将他的fd改成我们想要的地址,这样,在下一次分配到这个堆后,由于fd已经被我们修改过,这样在fastbin的队列中会将我们构造的fakechunk作为下一个分配这个大小的堆的地址,这样就可以做到任意写的功能,不过要注意的点是这个地址要-0x10(因为是从fd开始写入用户数据,而presize跟size会占据空间)
2,unsorted bin leak
申请两个堆块后,free堆块时,假如大小范围大于max_fast,则内存空间被划分到unsorted bin中,此时,调试可知,此时堆块的指针是一起指向<main_