eeeeeight的博客

堆溢出小总结 Column: Apr 12, 2021 Tags: Pwn, summary 开头的一些碎碎念: 除了fastbin大小的chunk，其余物理相邻topchunk的chunk在free之后都会合并进topchunk 利用malloc_hook通常是在main_arena-0x23-8的位置有个0x7f可以被识别为fakechunk(free_hook还不会，悲) Uaf: 堆被free之后，指向其的指针未被置空导致fd与bk之类的关键信息可以被编辑, 还有一种就是double free之类的

fastbin_dup_consolidate Column: Mar 28, 2021 昨日dasctf, 临时学会了house of orange, 但依旧爆零, 哎, 只能说自己不够努力 利用方式及其效果: 方式: 很简单, 先申请一个fastbin范围内的堆1, 再随便申请一个堆2防止被topchunk合并, 之后释放堆1, 申请large bin大小的堆3, 最后释放一次堆1, 此时不会段错误, 而会让堆1同时存在于fastbin与unsortedbin中 效果: 个人认为how2heap中讲的并

unsafe_unlink Tags: Pwn, learning experience 例子: 先讲解一下how2heap中给出的例子: 它最终的效果是让全局变量ptr上存储的值变为ptr-0x18, 其unlink过程可以被分解成为如下步骤: (1)寻找堆溢出, (2)伪造chunk, (3)执行unlink (1)寻找堆溢出就是找一个溢出点之类的漏洞使其修改两个连续chunk中的第二个chunk (2)伪造chunk, 除了在第一个chunk中布置fake_fd和fake_bk外, 还要在第二个chu