fgo

漏洞点 :
- delete 函数 uaf
利用过程:
- add(0x10) 两个组合 0x10(pointer) + 0x18(content)
- del 0 -> del 1
- add(0x8) , 0x10(pointer | chunk 1 pointer) + 0x10(content | chunk 0 pointer) ，从而可以修改 chunk 0 的指针域为 secret 函数
- 调用 print(0) , 从而触发后门函数

exp

GUESS

流程分析:
- 读入 flag 到栈上
- 3轮指定栈上字符串输入 , gets 输入造成溢出
- 输入与 flag对比
利用过程:
该题目利用stack stamsh 的点进行指定地点的leak
- tip : 这道题目需要用多次 stack smash进行leak , 能持续进行输入程序不崩溃的原因是，输入的函数是用fork启动的。
1. leak , puts 函数地址，得到libc地址
1. 根据 libc 地址计算出 libc["__environ"] 的地址，leak __environ 得到一个栈上的地址
1. 根据2中的栈地址的相对偏移计算出flag地址， leak flag

exp

功能分析
- while True 的字符串输入，然后输出 | 长度限制 0x64
漏洞点: 格式化字符串
利用方法:
- 1. leak printf@got , 得到 printf 地址
- 1. 计算得到 system 地址
- 1. 修改 printf@got 的值为 system
- 1. 输入 /bin/sh getshell

exp

exp

这个题目学到了 io_file 的利用 , 看来还是要再好好看看 io_file_plus 的结构体和相关调用。
参考链接 : https://www.jianshu.com/p/f14adeda85df
功能分析:
- new | 分配一个 0x68 大小的chunk 到指定 index
- change | 修改指定 index 的 chunk 内容
- release | free 指定 index 的 chunk | uaf 漏洞
漏洞点:
- uaf
  - 构成 fastbin attack
利用过程:
- 1. 利用 fastbin attack , 分配 chunk 到 0x60204d(stderr + 5 + 8) , 从而可以控制 ptr 数组
- 1. 控制 ptr 数组为 &stdout , &bss+0x300 + 0x68 * n (n : 0 - 3)
- 1. 布置 bss + 0x300 开始为 fake_io_file 和 fake_vtable
  - 3.1 这次构造发现可以布置除了 flag 和 vtable 之外的值全为 null , 但是还是要详细了解下原理。。。。
  - 3.2 如果设置其他值的 , io_read_* ，io_write_* 最好不要覆盖。
  - 3.3 可以把 fake_io_file 和 fake_vtable 布置在一起，但是需要主意 3.2 , 并且设置好 vtable的地址
  - 3.4 先布置好vtable 然后再修改 *stdout 为 &fake_io_file

exp 1 , 2 的区别是 fake_io_file 和 fake_vtable 是否分开
exp1
exp2