什么是SROPSROP 全称Sigreturn Oriented Programming，sigreturn是一个系统调用，在类 unix 系统发生 signal 的时候会被间接地调用。 signal 机制是类 unix 系统中进程之间相互传递信息的一种方法。一般，我们也称其为软中断信号，或者软中断 ...

前言off by null 是一个比较有意思的技术 下面通过 hctf2018 的 heapstrom_zero 实战一波。 题目链接 https://github.com/veritas501/hctf2018 程序分析直接拿源码分析，程序是一个比较简单的菜单程序 1234567891011121 ...

简介unlink是在smallbin被释放的时候的一种操作，是将当前物理内存相邻的free chunk进行合并,简单的讲就是我们在free一个smallchunk的时候，如果它前面或者后面的chunk有空闲的，即in_use位为0时，就将前面或后面的chunk连在一起合成一个chunk;smallb ...

前言glibc 2.26 开始引入了 tcache , 相关的 commit 可以看https://sourceware.org/git/p=glibc.git;a=commitdiff;h=d5c3fafc4307c9b7a4c7d5cb381fcdbfad340bcc 。加入 tcache 对性 ...

_GI___libc_free首先是 _GI___libc_free 12345678910111213141516171819202122232425262728293031void __fastcall _GI___libc_free(void *ptr){ if ( _free_h ...

前言文中未做说明 均是指 glibc 2.23 简单源码分析本节只是简单跟读了一下 malloc 的源码， 说的比较简单，很多细节还是要自己拿一份源代码来读 堆中的一些数据结构堆管理结构12345678910111213141516struct malloc_state { mutex_t ...

参考链接:https://www.freebuf.com/articles/system/170661.htmlhttps://veritas501.space/2017/10/07/ret2dl_resolve%E5%AD%A6%E4%B9%A0%E7%AC%94%E8%AE%B0/#moreht ...

前言现在pwn题是越来越高版本的libc，一场比赛ubuntu16.04，ubuntu18.04切来切去的十分难受。极力推荐这个pwndocker，使用这个pwndocker就不用来回的切虚拟机，利用patchelf 或者process(["/path/to/ld.so", &q ...

force标准的house of force，先申请较大的内存页，可泄露出libc基址，然后申请较小堆块，溢出修改top chunk的size为0xffffffffffffffff,申请堆块到__malloc_hook附近，这里用onegadget，不满足条件，可修改为system函数，然后申请”/ ...