[TOC] 参考博客 关闭了标准输入、标准输出、标准错误时可以利用反弹shell 反弹shell connect()+dupsh() - 反连 实测这种最好用,这里的ip要填写自己的wsl的ip

scanf的格式化字符串 做了这么久的格式化字符串，第一次见scanf的格式化字符串，于是做个记录 题目分析 可以看到把read读入的作为scan

（非栈上格式化字符串）往retaddr写一个orw，这种一般都要有无限次写才行,同时要找到栈上一个链才行 要注意链写的时候不要被覆盖，%{0}

用float-toy可以很方便的构造浮点数

[TOC] 思路分析 贴一个 参考博客 多了几个步骤： 一个伪造fake chunk的过程 伪造了size还得满足__builtin_expect (fd->bk != p || bk->fd != p, 0

[TOC] 前言 在此之前，笔者libc2.35都固化思维地只会largebin attack然后打IO，一遇到高版本还打tcache的好像束手无策 但是l

打NKCTF2024有一个libc2.23的堆题，虽然笔者不太会libc2.23的堆还是想看一看这个题 堆溢出里面泄露不要只想着传统的通过ch

64位函数参数传递 主要区别在于第4个参数，一般函数调用第4个参数是rcx存储，系统调用是r10存储

[TOC] 入门llvm pass的第一题， 这里给出一个写的比较详细的博客 题目分析 先ctrl+g定位到.load段找到pass函数 发现如果函数名为o0o

前置知识 jmp_buf结构体 setjmp.h 头文件定义了宏 setjmp()、函数 longjmp() 和变量类型 jmp_buf，该变量类型会绕过正常的函数调用和返回规则 jmp_buf 是一