sctf_2019_one_heap 写在前面: 在之前做这道题的时候SWPUCTF_2019_p1KkHeap,就受到了tcache dup+tcache poisoning来爆破申请tcache_perthread_struct结构体的启发,结果在做这道题的时候就遇见了这种手法。由于还需要打io_leak再次爆破半个字节,因此这种手法成功的概率只有1/256。 保护策略: 漏洞所在&&程序分析: ...
exit_hook = libc_base+0x619060+3848 实际上经过动态调试后的 __rtld_lock_lock_recursive 和 __rtld_lock_unlock_recursive 的地址是81D060+3840(为什么要覆盖这俩个地方是因为exit中引用了__rtld_lock_lock_recursive 和 __rtld_lock_unlock_recursive ,具体可以看 exit_hook在pwn题中的应用 - 不会修电脑...
寒假训练 sctf_2019_one_heap(12/250) 最近一直在接触通过stdout来leak libc的地址,总结出了一点东西 由于没有show函数,所以我们肯定要把chunk放入unsorted bin中,然后修改低2字节即可指向stdout所指的_IO_FILE结构体 不过我好像看到还有用stderr的,由于没有深入的逆过,所以还不清楚,不过这方面leak libc的基本上就...