於讴首先是一个简单的逆向分析只要大于或等于1000即可，接下来就是一个很简单的栈溢出的ROP利用： #!/usr/bin/env python # coding=utf-8 from pwn import * from LibcSearch

基础知识： fastbin: Chunk Size <= get_max_fast()的chunk（其实就是64bits的是128bytes，32位的是64bytes） ，它们会被放在被称为fastbin的bin里面 上面的f

chunk extend 堆利用： 程序中堆的利用 可以控制chunk header中的数据 例如：heap overflowptmalloc 对chunk 操作的存在漏洞。 首先：怎么获取chunk的大小？ /* Get size

这个题目有问题，但是重要的是利用思想：可以把源码贴出来帮助理解： #include<stdio.h> #include<stdlib.h> #include<string.h> #include<u

stack cookie的两种讲法 windows平台上叫 /GS:cookie linux上叫Stack Canary 它的原理就是在ebp-4的地方插入一个随机数（4字节还是8字节看计算机位数了），然后在函数返回（return）的时

这个技术也是针对于fastbin，属于fastbin_attack的一种。关键：目标位置伪造fastbin chunk并将其释放，进而实现在指定地址分配chunk 关于free时候的检查： free检查会看size的低字节flag的IS_

在VB中：vbaVarForInit() , vbaVarForNext() 可以使逆向分析人员在字符串对象中逐个引用字符。 后面可以跟loop count (EBX) 使其按指定次数运转循环 MSVBVM50.rtcMsgBox \\调

use after free（UAF） 重新malloc一样的大小，会拿到曾经Free的chunk，此时就会有两个指针p，和q指向同一个内存块，使用这两个的指针操作混在一起（之前的哪个指针在chun被free后没有被置为NULL，形成悬空

知识点： free操作会检查前后相邻堆块是否in_use，空闲的话就会进行合并操作 空闲的堆块一般以双向链表的形式存在（fastbin是单向链表不适用此种攻击） unlink : 如果刚释放的堆块要与前面或者后面的堆块进行合并操作，那么需