pwn1-believeMe

x86 elf | nx , stack canary
漏洞点:
- 40个字符内的格式化字符串
  - 使用 pwntools 的 fmtstr_payload 生成payload (设置 write_size="short" 缩短payload长度)
- ASLR 保护机制没有开启
  - 系统层面的保护机制
  - ASLR是一种针对缓冲区溢出的安全保护技术，通过对堆、栈、共享库映射等线性区布局的随机化，通过增加攻击者预测目的地址的难度
  - 这一点没有了解导致看了很久 , 留一个坑总结所有的保护机制。。
利用过程:
- 1. 格式化字符串泄露远程的 ebp 地址 , 加上相对偏移得到 ret 地址
- 1. 再次利用格式化字符串修改 ret 地址为后门函数
    exp

TheNameCalculator

x86 elf | nx , stack canary
流程分析:
- main函数中有一个检测，通过检测之后进入secret 函数
- secret 中有一个name的输入，加密后直接作为格式化字符串进行printf
漏洞点:
- secret 中的格式化字符串漏洞
利用过程:
- 注意点：
  - 格式化字符串修改 exit@got 的低位为后门函数的地址（27个字符的有限输入仅足以修改 4 个字节）
  - 注意格式化字符串的修改大小为每次修改 2个字节
- 操作：将修改 exit@got值的格式化字符串加密后输入即可

exp

x64 elf | full relro , nx , pie , stack canary
功能分析 :
- 1 . 新建 item
  - 1.1 新建有内容的
  - 1.2 新建无内容的
  - 1.3 新建样例 | 样例的传值有问题，传入的是main函数内栈上一个字符串的地址，可以通过此处获得 main_ret 地址
- 2 . 编辑 item | 使用gets读入，有堆溢出
- 3 . 删除 item
- 4 . print all ，列出所有 item的内容
漏洞利用:
- 1. 泄露栈地址，得到 main_ret 地址（地址上的值是 __libc_start_main + 240 ）
- 1. 利用堆溢出和栈地址上的 0x21 覆盖释放的堆块的 fd ，将堆块释放到栈上( alloc to stack) ，从而泄露 __libc_start_main 的值
- 1. 利用 LibcSearcher 查找对应的libc
- 1. 找到对应libc 后计算 libc的基址，从而得到 __malloc_hook 地址和 one_gadget 地址
- 1. 利用 2的思路覆盖 fd 使得 malloc_hook 可控 | 因为直接覆盖 __malloc_hook 为 one_gadget 在当前环境下不可用，所以使用 __realloc_hook 劫持来构造满足条件的环境
知识点:
- __realloc_hook 劫持：
  - 将realloc_hook设置为选择好的one_gadget，将malloc_hook设置为realloc函数开头某一push寄存器处。push和pop的次数是一致的，若push次数减少则会压低堆栈，改变栈环境。这时one_gadget就会可以使用。具体要压低栈多少要根据环境决定，这里我们可以进行小于48字节内或72字节的堆栈调整。
  - 参考链接 : https://bbs.pediy.com/thread-246786.htm
    exp