0x00 前言

这个利用方式跟重定位和动态链接有关，现在复习跟总结下

0x00 概述

传统的ROP技术，尤其是amd64上的ROP，需要寻找大量的gadgets以对寄存器进行赋值，执行特定操作，如果没有合适的gadgets就需要进行各种奇怪的组装。这一过程阻碍了ROP技术的使用。而SROP技术的提出大大简化了ROP攻击的流程。

通过修改栈上内容来影响下个函数栈上的状态，以此来劫持函数地址

0x0 解题思路

首先发现uaf漏洞但是只能show和free一次，而且free掉的chunk只能被top_chunk合并。所以考虑利用溢出到top chunk修改top chunk的size然后再次malloc泄露出libc，利用fastbin attack劫持malloc_hook用onegadget获取shell

字符检测绕过

有时候程序会对输入进行一些可打印检查,导致平常的shellcode失效,这个时候需要对shellcode进行编码.
可打印检查一般分为Alphanumeric(字符在[A-Za-z0-9]区间)和Printable(字符的ascii码在0x1f和0x7f区间,不包含边界).

例题:pwnable.tw:Death Note.

0x01 入口函数的作用

• 操作系统在创建进程后，把控制权交到了程序的入口，这个入口往往是运行库中的某个入口函数。
• 入口函数对运行库和程序运行环境进行初始化，包括堆、I/O、线程、全局变量构造，等等。
• 入口函数在完成初始化之后，调用main函数，正式开始执行程序主体部分。
• main 函数执行完毕以后，返回到入口函数，入口函数进行清理工作，包括全局变量析构、堆销毁、关闭I/O等，然后进行系统调用结束进程。

0x01 原理

uaf即use after free，也就是free后并没有将指针变量置为NULL，然后就可以再次使用那块内存。主要情况有：

• 内存块被释放后，其对应的指针没有被设置为 NULL ，然后在它下一次被使用之前，没有代码对这块内存块进行修改，那么程序很有可能可以正常运转。
• 内存块被释放后，其对应的指针没有被设置为 NULL，但是在它下一次使用之前，有代码对这块内存进行了修改，那么当程序再次使用这块内存时，就很有可能会出现奇怪的问题。

pwn的话一开始确实入门比较困难，学习曲线陡峭是真的，不过只要耐心学习很快也可以入门的，大家加油！

今天突发奇想想给博客添加一个评论功能，其实以前就有这个想法，但是我记得注册一个第三方平台账户的时候要求我拍什么身份证照片，直接就放弃了。后来看到一个gitment，就是一个用github账号登陆的评论系统，试了一试也失败了，今天重新弄费了九牛二虎之力终于搞好了，写篇博客记录下。

刚学了unlink,总结下利用方式和思路