hollk’s blog

又鸽了好久，抱歉哈~ 总的来说House Of Einherjar这种利用方法还是挺简单的，有点像chunk extend/shrink技术，只不过该技术是后向，并且利用top_chunk合并机制，个人觉得杀伤力比较强大

这道题是wiki上tcache attack 的Challenge 1，题目需要自己找一下。尝试上传到优快云上，但总是提示已有，不知道是什么情况。这道题总的来说比较复杂，涉及到的知识点有：tcache分配、unsorted bin分配、堆块合并分割、tcache检查、hook。吐槽一点，堆块的id为什么非得从0开始啊！啊！啊！啊！总的来说收获满满，对tcache这类的题目理解更加深刻了(*^▽^*)

tcache stashing unlink attack这种攻击利用有一个稍微绕的点，就是small bin中的空闲块挂进tcache bin这块。弯不大，仔细想想就好了

这篇文章介绍了两种tcache的利用方法，tcache dup和tcache house of spirit，两种方法都是用how2heap中的例题作为讲解。由于tcache attack这部分的内容比较多，所以分开几篇文章去写。例题后补，写完例题后可能会进行重新排版，内容不会少的！！！

进入到了Tcache的部分，我还是觉得有必要多写一写基础的东西。以往的各种攻击手法都是假定没有tcache的，从练习二进制漏洞挖掘的角度来看其实我们一直模拟的都是很老的环境，那么这样一来其实和真正的生产环境就产生了较大的差距，这导致了CTF-PWN就是CTF-PWN，除了比赛有用之外让人看不出实际的生产转化。以上均属个人想法，如果你觉得纯理论的东西没什么意思，完全可以跳过这前面部分直接看后面的例题

large bin attack这种方法本质上并不难，只是有点绕而已。他和上一篇unsorted bin attack有点类似，都是chunk挂进bin链表的时候通过完成链表结构连接时发生的问题，只不过large chunk还需要考虑fd_nextsize和bk_nextsize这两个结构。接下来就剩Tcache attack和House系列啦！终于要熬出头了????编写不易，如果能够帮助到你，希望能够点赞收藏加关注哦Thanks♪(･ω･)ﾉ

Unsorted Bin Attack很简单，序言就不多说了，直接看本文讲解就好，抓紧时间把wiki写完，我要去搞IOT固件分析了！！！！

总体来说这个方法并不难，例题2017 0ctf babyheap也不难，如果有仔细看过我的上一篇[2015 9447 CTF : Search Engine](https://blog.youkuaiyun.com/qq_41202237/article/details/111320740)的讲解，相信这个方法的例题对你来说只是流程更复杂一点，但是泄露libc啊、malloc_hook啊这种关键步骤还是一致的。流程部分我的方法是拿笔纸把每一步的chunk和bin写出来，这样更加集中注意力，哪里存在变化，都可以很快的发现

本文对2015 9447 CTF : Search Engine这道题目做了非常详细讲解，因为出差加上只有下班的时间，这篇文章写了小半个月。在静态分析阶段遇到层层的阻碍，ida的伪C代码翻译不够准确，导致程序的执行流程捋的不清晰，好在gdb跟踪下来明白了。这道题有两种利用方式，这篇文章写的是利用Double Free这种技巧

真的是好久好久都没更新了。。。。最近换工作再加上考CISP-PTE认证耽误了很长一段时间，这段时间打算把CISP-PTE的一些考点总结出来，如果你是做渗透工作或者ctf的web手，这个认证其实并不难。再来说说这篇文章吧，Alloc to Stack这种利用技巧其实和前面两篇区别不大，只不过就是伪造的chunk放在了栈上。这篇文章不会很长，因为wiki上没有适配的例子，自己也没找到。如果有做过这种技巧的例子的师傅，欢迎评论区留言～wiki上2015 9447 CTF : Search Engine这道题我会在

Fastbin Attack的第二种攻击方式House Of Spirit，相对来说是double free的升华。在检查绕过的时候会相对麻烦一点，其他的地方还是挺简单的，如果上一篇文上你领悟的很好的话，这篇文章也不会很难理解。编写不易，如果能够帮助到你，希望能够点赞收藏加关注哦Thanks♪(･ω･)ﾉ

好像拖更了好久。。。实在是抱歉。。。。主要是fastbin attack包含了四个部分，后面的例题不知道都对应着哪个方法，所以做完了例题才回来写博客。fastbin attack应该也会分四篇文章分开写。学了这么长时间pwn给我最大的感受就是量变确实可以引起质变，现在做题或者学习新的技术的时候可以隐约的进行以点看面的思考，通过某一处问题会在心里想象可能会引发什么什么样的后果。总的来说不后悔入坑pwn，字节之间的环环相扣让我深深的着迷！

到了Use After Free啦，总体来说这种手法并不复杂，特征也很明显，就是在静态分析阶段观察释放chunk之后指针是否置空。本以为参加hw会往后拖更，没想到这么快就写完了。如果前面一直跟着学的话这部分也应该难不到你，我会在接下来的Fastbin Attack等你，加油~

堆溢出的第三部分unlink，这可能是有史以来我做的讲解图最多的一篇文章了~~累死~~ 。可能做pwn的人都应该听过unlink，见面都要说声久仰久仰。学unlink的时候走了一些弯路，也是遇到了很多困扰的问题，会在后面的内容中做出标注。由于写的比较详细，所以字数依然还是一如既往的多，我会在适当的时候提醒向前回顾某一处知识点，也希望在看例题的时候能够跟着一起做一下编写不易，如果能够帮助到你，希望能够点赞收藏加关注哦Thanks♪(･ω･)ﾉ

这是进入堆领域的第二个知识点，Chunk Extend/Overlapping。不知道正在看这篇文章的你有没有一些拓展的思想，在了解堆的基础知识后有没有自己想过在堆中可能存在问题的点。我们可能从做第一道pwn题开始就知道要溢出、要泄露、要拿flag、拿shell，在知道了这些技巧之后看到shell这道题就过去了，可能也没想过为什么会这样，往往这些我们不在乎的东西才是同比场景的方法和思路编写不易，如果能够帮助到你，希望能够点赞收藏加关注哦Thanks♪(･ω･)ﾉ

从这篇开始就进入堆的范围了，又是两万字”小论文“，关于堆的相关知识请参考wiki上的章节。博主直接讲做堆的技巧，这篇讲off-by-one，也是踩了很多的坑。这篇文章因为写的比较详细，所以会很长，如果有忘记的知识点请翻阅目录查看。感谢在学习中帮助过我的大佬们：NoOne、povcfe