fgo

漏洞點(diǎn) :
- delete 函數(shù) uaf
利用過程:
- add(0x10) 兩個(gè)組合 0x10(pointer) + 0x18(content)
- del 0 -> del 1
- add(0x8) , 0x10(pointer | chunk 1 pointer) + 0x10(content | chunk 0 pointer) ，從而可以修改 chunk 0 的指針域?yàn)?secret 函數(shù)
- 調(diào)用 print(0) , 從而觸發(fā)后門函數(shù)

GUESS

流程分析:
- 讀入 flag 到棧上
- 3輪指定棧上字符串輸入 , gets 輸入造成溢出
- 輸入與 flag對(duì)比
利用過程:
該題目利用stack stamsh 的點(diǎn)進(jìn)行指定地點(diǎn)的leak
- tip : 這道題目需要用多次 stack smash進(jìn)行l(wèi)eak , 能持續(xù)進(jìn)行輸入程序不崩潰的原因是，輸入的函數(shù)是用fork啟動(dòng)的。
1. leak , puts 函數(shù)地址，得到libc地址
1. 根據(jù) libc 地址計(jì)算出 libc["__environ"] 的地址，leak __environ 得到一個(gè)棧上的地址
1. 根據(jù)2中的棧地址的相對(duì)偏移計(jì)算出flag地址， leak flag

功能分析
- while True 的字符串輸入，然后輸出 | 長(zhǎng)度限制 0x64
漏洞點(diǎn): 格式化字符串
利用方法:
- 1. leak printf@got , 得到 printf 地址
- 1. 計(jì)算得到 system 地址
- 1. 修改 printf@got 的值為 system
- 1. 輸入 /bin/sh getshell

這個(gè)題目學(xué)到了 io_file 的利用 , 看來還是要再好好看看 io_file_plus 的結(jié)構(gòu)體和相關(guān)調(diào)用。
參考鏈接 : http://www.itdecent.cn/p/f14adeda85df
功能分析:
- new | 分配一個(gè) 0x68 大小的chunk 到指定 index
- change | 修改指定 index 的 chunk 內(nèi)容
- release | free 指定 index 的 chunk | uaf 漏洞
漏洞點(diǎn):
- uaf
  - 構(gòu)成 fastbin attack
利用過程:
- 1. 利用 fastbin attack , 分配 chunk 到 0x60204d(stderr + 5 + 8) , 從而可以控制 ptr 數(shù)組
- 1. 控制 ptr 數(shù)組為 &stdout , &bss+0x300 + 0x68 * n (n : 0 - 3)
- 1. 布置 bss + 0x300 開始為 fake_io_file 和 fake_vtable
  - 3.1 這次構(gòu)造發(fā)現(xiàn)可以布置除了 flag 和 vtable 之外的值全為 null , 但是還是要詳細(xì)了解下原理。。。。
  - 3.2 如果設(shè)置其他值的 , io_read_* ，io_write_* 最好不要覆蓋。
  - 3.3 可以把 fake_io_file 和 fake_vtable 布置在一起，但是需要主意 3.2 , 并且設(shè)置好 vtable的地址
  - 3.4 先布置好vtable 然后再修改 *stdout 為 &fake_io_file

exp 1 , 2 的區(qū)別是 fake_io_file 和 fake_vtable 是否分開
exp1
exp2