qq_41696518的博客

好家伙，保护全开，根据文件名，可以判断这是一道堆题目，刷了这么久，终于遇到堆题目了，解析就写的详细点。先看main函数，很简单就是各类个目录函数，一步一步来看把。

/生成50个用来溢出的字符，如：aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaama。10）syscall [args]: 调用系统调用，args可以指定系统调用号，或者系统名称。如何之前没有安装过别的插件，则只会显示有最后一行，如果安装过，则将前面的注释掉即可。//打印PIE偏移，与rebase不同，这是打印，rebase是使用。//从rdi指向的地址向后打印10个单元，每个单元4字节的十进制数。，x指令的格式是：x空格/nfu，nfu代表三个参数。

堆是用malloc函数申请使用的。假设我们通过void * ptr = malloc(0x10);系统会调用一些函数在内存中开辟一大片空间作为堆的分配使用空间。malloc函数再从这篇堆的分配使用空间中分配0x10大小的空间，将指向该空间的地址返回给ptr(余下的空间称之为topthunk)chunk：用户申请内存的单位，也是堆管理器管理内存的基本单位 malloc()返回的指针指向一个chunk的数据区域。

那就很简单了，溢出指向漏洞函数即可，但此题有个小坑，其实最开始学pwn时会通过gdb查找溢出大小，但后面懒了就直接通过IDA查看，但IDA并不一定准确，并且题目本身也会有坑，比如该题。但本题，main函数没有push ebp的操作，所有溢出时不需要多加8字节ebp位置。

明显存在栈溢出，那么就是找system和/bin/sh的问题了，该题给了libc，那就是泄露出真实的libc载入基址本题即可求解。由于本题是64位的，因此参数要写入寄存器中，顺序为rdi,rsi,rdx,rcx,r8,r9。

一些pwn的小技巧，会持续扩展更新

与往常溢出不同的是，该溢出仅仅只能溢出8(0x30-0x28)字节的数据，恰好就是覆盖ebp和ret地址数据，并且存在两处溢出漏洞。因此可以用read函数将system(“/bin/sh”)读到当前栈中，并返回让其执行该函数即可。这里有两个问题，1.system(“/bin/sh”)存储地址如何得知 2. 如何返回该system地址执行函数。

repeater 攻防世界

pwn2_sctf_2016【BUUCTF】

jarvisoj_fm【BUUCTF】

bjdctf_2020_babystack2【BUUCTF】

bjdctf_2020_babyrop

2022几款开源的态势感知、攻击监控、日志分析等平台调研

ciscn_2019_ne_5 BUUCTF

littleof ——攻防世界

not_the_same_3dsctf_2016，含mprotect解法和常规解法

get_started_3dsctf_2016

[OGeek2019]babyrop【BUUCTF】

bjdctf_2020_babystack

jarvisoj_level2【BUUCTF】

ciscn_2019_n_8

ciscn_2019_c_1【BUUCTF】

攻防世界——hacknote

PWN堆练习，值得看

[第五空间2019 决赛]PWN5 ——两种解法

pwn1_sctf_2016

ciscn_2019_n_1 两种解法

pwn 字符串漏洞 64位

pwn 字符串漏洞练习题

pwn 栈溢出题目（中等）

pwn练习题-level2

pwn栈溢出练习，所有题目在练习题——1中

pwn练习题

ret2libc3

ret2libc2

ret2libc1

PWN

PWN ret2shellcode

第一个pwn 栈溢出简单题

杂项-二维码