这道题涉及到 realloc 的利用,还蛮新奇的,第一次接触。昨天晚上卡了一晚上没做出来,今天终于是解完了。首先 realloc 在申请的空间不同时,行为也是不同的。我们记申请的大小为 Nsize,ptr 指向的堆块的大小为 Osize,那么在调用 realloc(ptr,Nsize) 时有以下几种情况Nsize == 0 此时等同于 free,且返回值为 0Nsize < Osize...
此题的起名吸引了我去做它。题目不难,不过之前从来没有做过 Tcache dup 类的利用,也算是学习了新知识(考虑到这和 fastbin double free 相比除了简单不少之外没有什么区别,其实还是只做了一道水题)。题目有给我一定的困扰,也有考虑放弃去找 WP,但是没找到,就只能自己做了,结果做了出来。这个故事我觉得以后做题还是要更加坚持。漏洞很明显 deleteUser 函数中有 d...
不得不说 hitcon 2016 那场比赛的堆题是真的都很牛叉,让我学到了很多东西。这道题和同场比赛中的 secret_holder 有在总体流程上几乎一样,但是利用方式不同。这个程序除了 double free 之外是没有漏洞的,如何利用这个 double free 呢?之前那道 secret_holder 是通过类似 chunk overlapping 的方法实现 UAF 然后 unli...
Final 就做出这一道,第二道 webpwn 确实不太会,花了很长时间才搞出环境,最后无时间了。语神和我说出这个题也没想让我们做出来,感到一丝恶意和一丝释然。Hgame 到这里也正式结束了,总结就不写了。这道题其实还是比较简单的,但是做了五个半小时,拿了两个 hint 才做出来,主要原因是从未接触过多线程开发,对 glibc 实现多线程的原理了解的非常浅,有许多需要的知识和 trick 不...
看到题目还以为是堆利用,但是实际上是文件系统中的一个小 trick。前置的是 /proc 目录的知识,可以看这篇文章这个知识在 hgame 中第一次碰到,可看这篇 WP 中的 the_shop_of_cosmos漏洞点任意地址写<div style="text-align:center"><img src="https://www.cjovi.icu/u...