[TOC] 这篇博客已经讲的很详细了 与libc2.31有些许不同的地方就是libc2.32多加了对next域的限制，稍作修改即可 代码 from pwn import * from pwnlib.util.packing import p64 from

docker的安装与使用 docker常用命令 docker在pwn中的使用 在docker中搭建pwn环境 vscode连接docker容器 doc

[TOC] Global Offset Table GOT 表在 ELF 文件中分为两个部分： .got，存储导入变量的地址。 .got.plt，存储导入函数的地址。 在 Linux 的实现中，.got.plt 的前三

[TOC] exit_hook攻击 ​glibc-2.34​ 后失效 区分_exit()与exit() _exit()就是一个简单的系统调用syscall #include <unistd.h>

[TOC] 核心： 1.存在堆溢出、use-after-free 等能控制 chunk 内容的漏洞 2.漏洞发生于 fastbin 类型的 chunk 中 3.fastbin的单项链表结构,fd指针

[TOC] 参考博客1 参考博客2 低版本 在2.27-2.31版本中，没有对fd指针加密，所以在利用的时候非常简单，只需要将tcache填满，然后放7个c

通过错位构造\x7f可以得到malloc_hook edit(0x10,p64(libc.sym['__malloc_hook']-0x23)) add(0x68,b"A"*8) add(0x68,b"\x00"*0x13 + p64(one_gadget))

[TOC] 主要参考了这个博客 入门qemu逃逸第一题，花了好几天时间才把所有的细节搞明白 题目分析 题目名字就是fastcp，所以ida直接搜发现这些有关

[TOC] 适用情况 这个工具只适用于栈上的格式化字符串，可以参考offset变量的设置要求 这个工具写入的数据直接是一个size_t类型，所以如果限制输

[TOC] 一般rsp为相对格式化字符串的第5或6个参数 打ogg只用写入几个字节 返回地址本身就是Libc里面的函数 那么我们写入的时候为了省事其实可以只