寒假训练 sctf_2019_one_heap(12/250)
最近一直在接触通过stdout来leak libc的地址,总结出了一点东西
由于没有show函数,所以我们肯定要把chunk放入unsorted bin中,然后修改低2字节即可指向stdout所指的_IO_FILE结构体
不过我好像看到还有用stderr的,由于没有深入的逆过,所以还不清楚,不过这方面leak libc的基本上就是这样的思路了
思路
通过stdout来leak libc,然后tache attack劫持malloc hook即可(由于这题涉及到了调节堆栈,我是先看了https://www.freesion.com/article/7253509267/这篇文章才写出来的,所以我打算过几天来写这个脚本)