HITCON-training lab 10 hacknote题目地址： HITCON-Training/LAB/lab10 at master · scwuaptx/HITCON-Training 由于不知道 libc 的版本，这里选择了2.23，不过高版本做法貌似也没有什么区别就是了 checksec12345678[*] '/home/yyyffff

checksec123456[*] '/home/yyyffff/桌面/b00ks' Arch: amd64-64-little RELRO: Full RELRO Stack: No canary found NX: NX enabled PIE: PIE enabled IDA(有

checksec12345678910yyyffff@yyyffff-virtual-machine:~/桌面/2/lib$ checksec v2[*] '/home/yyyffff/桌面/2/lib/v2' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found

概述VM pwn题目通常是模拟一套虚拟机，对用户输入的opcode进行解析，模拟程序的执行 一般会有如下操作 初始化模拟的寄存器空间(reg) 初始化模拟的栈空间(stack) 初始化模拟的data段(data) 初始化模拟的opcode存储空间(text) 当用户输入指令后，该程序会根据自己设计的逻辑进行执行，这些空间全都是自己分配的而不是系统给的 一般的漏洞都是越界读取导致的，导致地址泄露

保护1234567[*] '/home/yyyffff/桌面/bookwriter/bookwriter' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x

House of Orange概述对top chunk进行利用，在没有free存在的情况下创造free到unsortedbin中的空闲块，从而得到unsortedbin地址，在进行后续操作即可获得main_arena地址等 原理当当前堆的top chunk尺寸不足以满足申请的分配大小的时候，原来的top chunk会被释放并且放入unsortedbin中，接着再映射或者扩展一个新top chunk

FILE结构FILE介绍FILE是linux系统标I/O库中用于表示文件流的数据结构，称文件流 通过fopen等函数创建，分配在堆中 源码： 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566s

更换对应的libc和ld确定给的libc.so.6版本 1strings libc.so.6 | grep libc 在glibc-all-in-one中下载对应的版本 12cd ~cd glibc-all-in-one 列出版本列表 1cat list 下载 1./download 对应版本 patchelf到程序中 12patchelf --set-interpreter ~/gli

内存分区模型 代码区：存放二进制代码，由操作系统管理 全局区：存放全局变量、静态变量、全局常量 栈区：编译器自动分配释放，存放函数参数值、局部变量等 堆区：由程序员分配、释放，若不释放，结束时由操作系统回收 意义：赋予不同的生命周期，灵活编程 程序运行前未执行.exe文件前，分为两个区域 代码区： 存放cpu执行的机器指令 特点：共享（频繁被执行的程序只要在内存中有一份代码即可），只读（防止

堆溢出原理 简介： 程序向堆块写入的字节数超过了堆块本身的字节数（不是用户申请的字节数，因为在内部用户申请的字节数会被转换为实际向系统申请的字节数，该数大于等于用户申请的字节数），可以覆盖到相邻的高地址的下一个堆块 条件： 向堆上写入数据 写入的数据大小没被良好的控制 与栈溢出等不同的是我们不可以直接通过堆溢出直接控制EIP，我们也就无法直接控制程序执行对应的程序，对于堆溢出： 覆