Sunichi's Blog

sunichi@DUBHE | Linux & Pwn & Fuzz

0%

发表于 更新于
本文字数: 3.1k 阅读时长 ≈ 3 分钟

easiest

通过double free修改got项到程序中的getshell函数。

阅读全文 »

发表于
本文字数: 5.2k 阅读时长 ≈ 5 分钟

在最近的一些题目中,多次运用到了修改stdoutFILE结构体中的缓冲区指针进行信息泄漏,参考了大佬们阅读源代码的博客,记录一下。

阅读全文 »

发表于
本文字数: 19k 阅读时长 ≈ 18 分钟

tcache简介

tcache是在libc 2.27中加入的chunk快速缓存机制。在malloc.c中有如下定义:

  • 共有64个tcache bin。
  • 使用tidx2usize(idx)对tcache的chunk进行大小计算。
  • 每个tcache bin最多存有TCACHE_FILL_COUNT个chunk(默认为7)。
阅读全文 »

发表于 更新于
本文字数: 4k 阅读时长 ≈ 4 分钟

本题的关键主要在于通过scanf()调用malloc()申请一个large bin从而触发fastbin的合并获取unsorted bin。当获得了unsorted bin后,就是常规的off by nullhouse of orange题了。

阅读全文 »

发表于
本文字数: 5.7k 阅读时长 ≈ 5 分钟

hack

思路与pwnable.krunlnk一致,通过unlink操作对栈上的值进行修改,从而将栈劫持到堆上,返回到one_gadget处。可以进行两次泄漏,分别泄漏libc地址和栈地址。

阅读全文 »