PWN——roarctf_2019_easy_pwn———关于无法使用onegadget的办法

经典增删查改

 

 

漏洞

 

 明显的off by one

创建两个chunk，通过覆盖第二个chunk的size再free再申请来得到两个重叠的chunk

伪造chunk之后修改fd任意地址写

唯一不同是不能用one gadget

网上查一下是one gadget需要条件　　https://bbs.pediy.com/thread-246786.htm

 

简单说就是需要rsp+0x30为null

那咋办呢，就是malloc_realloc写one gadget，然后malloc_hook写realloc中push 的地址

realloc会先push再跳转到realloc上的地址

减少realloc中push的寄存器来修改rsp的值即可

 exp抄的，看这篇文章即可https://blog.csdn.net/mcmuyanga/article/details/111307531

堆题杀我，我累了，毁灭吧