首先,检查一下程序的保护机制
然后,我们用IDA分析一下
wdb2018_guess(stack smashing泄漏信息)
xman_2019_format(非栈上格式化字符串仅一次利用的爆破)
首先检查一下程序的保护机制
然后用IDA分析一下
starctf_2019_upxofcpp
程序用了UPX壳保护,通过upx –d脱壳后,拿到IDA里分析。
Delete以后没有清空指针,存在UAF,但是无法double free,因为程序中使用虚表调用,delete一次后,虚表对应位置已经被清空。因此第二次delete同一个chunk将进入else语句,进而崩溃。由于函数指针放在chunk里,因此,我们可以伪虚表指针,再利用UAF来执行。由于使用的是upx加壳,脱壳后,显示NX保护是关闭的,但是宿主是upx的壳,upx壳程序通过mmap映射出RWX的内存放置受保护的程序,因此,在这里堆栈是可执行的,也可以通过gdb调试查看。因此,我们在堆里布置下shellcode。
secretHolder_hitcon_2016(超大chunk如何从top chunk里分配而不是mmap)
这题和上一题https://blog.csdn.net/seaaseesa/article/details/105856878功能相似,并且上一题的利用手法这里同样可以利用,这里,有另一种手法,从而引出了一个新的知识点。
这题,delete功能里增加了对huge chunk的free
sleepyHolder_hitcon_2016(fastbin的检查机制+malloc_consolidate+double free)
首先,检查一下程序的保护机制
然后,我们用IDA分析一下,delete功能没有清空指针,并且也没有校验,因此可以double free。
huxiangbei_2019_namesystem
首先,检查一下程序的保护机制
然后,我们用IDA分析一下
反调试+在栈上伪造堆chunk
首先,检查一下程序的保护机制,没开PIE
沙箱禁用了execve,因此不能getshell,只能构造ROP来读取flag
roarctf_2019_easyheap(文件描述符1关闭后仍然可以交互)
首先,检查一下程序的保护机制
然后,我们用IDA分析一下
cscctf_2019_final_childrenheap
首先,检查一下程序的保护机制
然后用IDA分析一下
mergeheap
首先,检查一下程序的保护机制
然后,我们用IDA分析一下,在合并的时候,存在溢出,strcpy、strcat可能会将下一个chunk的size也拷贝过来,从而可以溢出修改下一个chunk的size。