Mr_Fmnwon的博客

套的东西比较多，RC4加解密、账号密码爆破、沙箱。不过libc版本2.27，加之存在UAF，所以如果没有那些限制，其实还是很好过的。接下来我将按照我当时做题的思路过一遍。

做完后看了几个战队的WP，或多或少方法都有些差异，我的方法可能比较复杂（代码量来看）但是自己上手，遇到问题、想思路什么的，收益颇丰。于是记一篇博客，既是分享，也是总结。还要向各个战队学习，精简、直接、多解、花式利用对笔者来说，算是酣畅淋漓的综合利用，虽然题目不算特别难，但是也能涨涨士气。与诸君共勉。

关注glibc版本，审出UAF，即可利用tcachebin attack打__malloc_hook的ogg。

一道简单的tcache劫持。

审计一下题目：经典菜单，edit，show，add，delete俱全嗯，啧啧，delete还有个UAF太明显，爽爽unsortedbin-leak-libc！——what！show只能一次，delete只能一次！！！救命。。。我该怎么做。比较惊险，磨了半天，学习house of orange然后利用，居然真的过了。那一刻的高兴至今难忘。

【攻防世界】的本题，所给libc版本错误，经过测试，版本为：libc6_2.23-0ubuntu9_amd64.so当然，本地调试玩玩，用glibc-all-in-one的2.23-0ubuntu3_amd64也是可以的。这题学到了很多知识点（主要是这些知识点整合应用在一起）离不开这些优秀的博客和大佬ha1vk攻防世界PWN之Babyheap(null off by one)题解PLpa、攻防世界(pwn)babyheap（一些常见的堆利用方法）攻防世界-babyheap解题思路-优快云博客。

unsorted-bin一般用于利用，有leak libc和往任意地址写一个大数的作用。本题可以说是作为一道模板题，主要阐述了如何实现”往任意地址写一个大数“。一、unsorted只要unsorted-bin中的某个chunk的bk域被修改为指定addr，则addr+0x10（64位）的位置会在该chunk被unlink时，修改为一个非常大的数（该chunk的头部地址）从来没有遇到这么简洁的总结。然而，更好的理解，是需要知道底层过程的（如上，wiki部分）。

Arbitrary Alloc 其实与 Alloc to stack 是完全相同的，唯一的区别是分配的目标不再是栈中。事实上只要满足目标地址存在合法的 size 域（这个 size 域是构造的，还是自然存在的都无妨），我们可以把 chunk 分配到任意的可写内存中，比如 bss、heap、data、stack 等等。Arbitrary Alloc 在 CTF 中用地更加频繁。我们可以利用字节错位等方法来绕过 size 域的检验，实现任意地址分配 chunk，最后的效果也就相当于任意地址写任意值。

将chunk劫持到指定位置，能够大有作为，而House Of Spirit的目的就是这一点。最初了解仅是了解，通过本题，对于利用手法的利用，感悟更为深入。House of Spirit 是中的一种技术。该技术的核心在于在目标位置处伪造 fastbin chunk，并将其释放，从而达到分配指定地址的 chunk 的目的。要想构造 fastbin fake chunk，并且将其释放时，可以将其放入到对应的 fastbin 链表中，需要绕过一些必要的检测，即。

题目对于知识点unlink还是非常裸的，很直接，思路很清晰。

buuctf pwn hitcon2014_stkof 初识unlink_buuctf hitcon2014_stkof-优快云博客。

通过overlap可以造成堆的重叠，进而通过堆的修改、访问等操作，劫持或泄露另一个堆的信息，如果堆上存在指针，而存在对指针的读写，就可以控制修改该指针，进行任意地址读/写。

作为本萌新做的第一道堆题，接触到新的领域，总是又能够学到很多东西。本题用到了堆漏洞UAF：use after free。UAF的第一题，Heap的第一题。heap一直都是pwn里的大头，好好学！加油！

UAF-释放后重用，这一题和wiki上教学的那一题一样，是纯的裸UAF题目初步涉猎heap，对于典型的漏洞利用，多加记载。

步入堆的学习。堆的知识复杂而多，于是想着由wiki从简单部分逐个啃。b00ks是经典的堆上off-by-one漏洞题目。刚开始看很懵（因为确实连堆的管理机制都没有完全了解）。