weixin_45209963的博客

这篇一直说着要写结果一直鸽来着…争取长期诈尸式更新目标是对FirmAE的源码做一个大致梳理，供日后参考。由于FirmAE本身就是基于firmdyne的二开成品，而且基本上没有修改firmdyne的代码与代码结构，所以本文实际上也是对firmdyne代码的一个梳理。顺便还能给大家看看什么叫狗尾续貂FirmAEutil还没看 不知道干嘛的source工具包文件夹，包括了重要的提取器extractor、hook掉nvram调用的libnvram和比较一般的固件爬虫scraper、console。

2022 hgame pwn wp本来早就写好了，但是由于复试毕设等等原因拖到今天才发包括了绝大部分题目，除了算法题spfa和bpwn，剩下一些简单题懒得写了orz文章目录2022 hgame pwn wpWeek 1enter_the_pwn_landenter_the_evil_pwn_landoldfashion_orwWeek 2oldfashion_noteechoWeek 3changeable_noteelder_notesized_noteWeek 4vectorWeek 1ent

libc 2.31下malloc_hook-0x23的堆异构应该是不行了，但是附近还有另一个：realloc_hook-0x2b（也就是malloc_hook-0x23），大小还是0x7f（因为都是异构的libc内地址）实际上这个异构的原理就是利用malloc_hook之前的realloc_hook和memalign_hook中已经存在的地址（所以写libc的那帮家伙为什么不去掉hook）...

FBI warning:本文仅仅是试图以二进制选手的方式来理解mallo.c中所使用的堆机制，不会对具体操作以及堆块结构作过多叙述，敬请谅解。水平欠佳，有问题也欢迎留言指出。libc-2.23无论大小，第一次申请chunk时各bins对应操作均不会执行，直接使用sysmalloc从top chunk割。之后再malloc才会进入各自bins的操作。 if (__glibc_unlikely (av == NULL)) { void *p = sysmalloc (nb, av)