nowhere

32 积分	0 好友	4 主题

发消息

[Pwn] libc 使用小trick

发表于 2021-7-7 09:55:43 | 查看: 4442| 回复: 7

相关题目：

温馨提示：

1.如果您喜欢这篇帖子，请给作者点赞评分，点赞会增加帖子的热度，评分会给作者加学币。(评分不会扣掉您的积分，系统每天都会重置您的评分额度)。
2.回复帖子不仅是对作者的认可，还可以获得学币奖励，请尊重他人的劳动成果，拒绝做伸手党！
3.发广告、灌水回复等违规行为一经发现直接禁言，如果本帖内容涉嫌违规，请点击论坛底部的举报反馈按钮，也可以在【投诉建议】板块发帖举报。

使用

相关帖子

收藏0 回复显示全部楼层道具举报打印

nowhere

发表于 2021-7-7 10:17:50

在没有free的情况下可以使用realloc进行free，也可以修改topchunk的size将其改小，而后申请一个大的chunk，此时topchunk就会进入unsortedbin

回复显示全部楼层道具举报打印

nowhere

发表于 2021-7-7 10:18:09

largebin攻击中largebin中已经存在一个chunk，此时需要一个小一点的chunk在unsortedbin，而后申请一个小一点的chunk就会触发，若是无法申请一个小一点的chunk，此时可以再释放一个chunk在堆中，而后申请此堆块触发。

回复显示全部楼层道具举报打印

nowhere

发表于 2021-7-7 10:18:26

malloc一个largebin的堆块时，会合并所有堆块，包括fastbin。

回复显示全部楼层道具举报打印

nowhere

发表于 2021-7-7 10:18:43

FSOP就是覆盖IO_list_all为可控内存指针，提前获取IO_write_ptr、_IO_write_base、_mode 等数据域的偏移，这样可以在伪造的 vtable 中构造相应的数据

回复显示全部楼层道具举报打印

nowhere

发表于 2021-7-7 10:19:03

劫持控制流可以劫持`_dl_open_hook`为可控的内存地址，之后通过malloc或free报错的方式，程序会把该值加载到寄存器，然后call该寄存器。

回复显示全部楼层道具举报打印

nowhere

发表于 2021-7-7 10:19:18

使用calloc将samllbin中的chunk放入tcache，可将后进入smallbin的chunk的bk修改为victim，触发后会将victim放入tcache。需注意victim的bk处的地址可写（在victim-->bk-->fd处将写入mainarena）。victim的fd会写入一个堆地址（tcache链）

回复显示全部楼层道具举报打印

nowhere

发表于 2021-7-7 10:19:49

先写几个，持续发现，持续更新

回复显示全部楼层道具举报打印

返回列表

		自动登录	找回密码
密码			立即注册