write some paper

• x64 elf | nx , stack canary
• 功能分析:
  • add paper | 分配指定位置指定 size 的 chunk (0 < size < 1024)
  • delete paper | free 指定位置的 chunk | uaf 漏洞
• 漏洞利用:
  • 因为delete paper 处 free 后 未将指针置为null且无其他检测，所以可以进行double free利用
  • 利用过程 :
    • 利用double free 劫持 got表指针
    • 将 目标 got表 指针值设置为 后门函数
• 知识点:
  • double free 所需要的size 是一个 4byte 的 数字( 不知道 x86 是否降为 2byte)

exp

pwn_02

• x32 elf | nx , stack canary
• 一开始以为是一个类似逆向的题目，还说找错了分类，结果是我想简单了
• 功能分析 :
  • 1. 有四关检测 , 如果通过了，且满足一个条件可进入秘密关卡
  • 2. 秘密关卡可以对 逆向中用到的几个结构体做输入。
  • 3. elf 中有两个函数 可配合使用 进行getshell
    • __nr , 任意地址写

    • __gg ，任意地址执行 ， 值得关注的是这个函数的传参方式(利用图中对一个数组的赋值进行传参, call eax 执行 ， 此处我们的传参需要 __nr 的配合，并且找好目标位置)

      
      image.png

(exp)[https://github.com/ly-test-fuzz/pwn_repo/blob/master/iscc/2018/pwn/exp.py]