trunk

摘要： # GLIBC2.36中利用obstack去劫持执行流 > 作者没有起名字，可能就是跟house of apple太相似了 ，就是roderick师傅提出的house of apple中没有发现的一个链，个人感觉就是house of apple跟house of banana的一个结合(说实话这两个 阅读全文

摘要： 高版本libc(2.29-2.32) off by one的总结 首先介绍off-by-null各个版本的变化，不过说实话高版本libc(2.29-2.32) off by one有点不太适用现在的情况了，因为在相同的条件下完全可以适用更方便的方法而且限制更少，比如house of apple ,h 阅读全文

摘要： Safe-Linking 机制的绕过 背景：自2.26版本以后增加了tcache后 就出现了tcache poisoning这种相对容易实现的漏洞（因为减少了对size的检查），但在2.32及以后的版本增加了Safe-Linking机制，简单来说就是对tcache的next指针进行了异或运算 手法： 阅读全文

摘要： hitcon_ctf_2019_one_punch 在2.29及以后得版本中对unsorded bin的进行了双向链表检查，故unsorted bin attack就不可以再用了，不过tcache stashing unlink attack 可以达到同样的效果 利用原理：就是我们从smallbin 阅读全文

摘要： jarvisoj_guestbook2 学完最新的几个house系列感觉基础不太好就在学习一下栈堆， 程序分析 就是一个菜单题，有一个uaf，版本是2.23，而且可以修改got表，就打一个unlink，修改atoi的got表 在程序开始前申请一个大chunk用来存放接下来申请的chunk的标志位，地 阅读全文

摘要： house of cat 适用版本：到2.35 攻击效果：劫持执行流 利用条件：可以使用两次large bin attack house of cat 跟house of apple的区别不大，就是在触发条件有所不同 house of cat是通过检查top的size不合法触发的调用链是 __mal 阅读全文

摘要： house of husk 适用版本：2.27到2.35 攻击效果：执行一次call 利用前提：能够修改printf_function_table和printf_arginfo_table 漏洞原理 漏洞背景：在printf函数中我们可以自定义格式化字符串来进行输出 漏洞触发：在vfprintf 函 阅读全文

摘要： house of banana 适用版本：2.23到最新的2.36 （在2.27及以下不能打orw，在其上可以，因为只有在2.27版本之上才可以控制rdx并利用setcontext打一个orw） 利用条件： 可以任意地址写一个堆地址（通常使用 large bin attack） 能够从 main 函 阅读全文

摘要： house of apple 攻击效果：劫持执行流 适用版本：glibc 2.23 到最新版本 2.36 利用条件：1、可以泄露出libc基地址和堆地址 ​ 2、可以任意地址写一个堆地址（一般用large 斌attack) ​ 3、从main函数返回、调用exit函数、通过__malloc_asse 阅读全文

摘要： heap2019 一点也不会，太菜了，zikh师傅太强了直接带我入门io 保护 比赛时一脸懵比，已经隐隐感觉与io有关，就知道跟我没关系了 漏洞利用 输入的时候没有\x00截断且下面有一个puts，这个漏洞可以用来泄露地址，从unsortbin中泄露libs地址从larger bin中泄露堆地址，程 阅读全文