老套路,查保护和看文件架构。
这是一道堆的题目,刚接触不怎么会,看看大佬的WP吧
分析题目,没有开PIE,FORTIFY好像在这里没什么影响。题是菜单选择题,allocate,free,reallocate。给定了bss段上面的两个位置可以存chunk,输入size和index时,使用的是atoll返回。
free过后清零, 但是realloc函数在size为0时同样执行free操作,而reallocate函数中并没有检查size的下界,
tcache在libc2.29新增了一个key,防止double free。(libc2.29具体新增的保护机制措施见:libc2.29)
因此只有一个UAF。输入的时候还有一个off-by-null,这里没用。
具体的利用思路是通过UAF把tcache的某个next改为atoll@got,然后分配到这个位置修改got表为printf,打印libc地址,然后再修改为system的地址即可。
有几个值得注意的点:
在从tcache中取堆块的时候,会检查对应链表的计数,所以要保证在分配到atoll@got时,该条链表中有足够的count。
保证正在使用的chunk是和top chunk
最低0.47元/天 解锁文章
156
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
