Tw0的博客

头一次看buu上basic类型的题目，刚开始不是很懂是什么类型的题。但是做了一些以后，感觉是类似于后台rce之类的操作。水篇博客记录一下。

看misc题目真是没头绪，难过了。

heap中的unlink攻击是比较常用的技巧。后向的unlink利用条件更加简单，只需要off-by-null即可。但是前向的unlink因为需要设置伪造chunk的size，所以利用条件稍微困难一些，需要off-by-one才能实现。

记录一下32位程序非栈上格式化字符串的爆破技巧。

数组越界类型的题目，难度基本上是签到级别，重点是要注意IDA反编译代码和直接查看汇编的结合。

巩固一下stack smash技术，了解elf程序的运行环境参数。

当我们进行double free攻击的时候，如果有一个管理堆块存储着多个下级chunk的指针，那么需要特别注意和管理chunk同样大小的chunk的申请和释放，因为free fastbin chunk的时候，会对其fd指针进行修改，从而导致程序寻找的堆块出现偏差。

修正一些exp讲解思路不对的地方，讲述真正getshell的原理。

主要的功能函数有四个，第四个getflag函数只有在调试分析的时候才会看到，正常运行都是不知道的。（一开始看到这四个功能函数的时候还以为遇到了堆题，2333。至此，一条rop链思路就出来了，利用程序中system函数调用的gad以及sh字符进行getshell。另外就是调试需要填充的长度了,可以看到dest形参与ebp的长度是0x48，加上ebp的长度，总共是0x52.关键的函数就两个，addlog和getflag两个函数。ida中静态分析一下，首先要经过password的认证。

记录pwn的练习题目内容挺简单的，就是练习的时候，思路一直卡在了ret2shellcode和泄露地址上面，导致没有去仔细查看ida中的hintexp：