티스토리 뷰

CTF

SECUINSIDE 2017 - babyheap

Eyebrowmoon 2017. 7. 2. 21:37

team member를 음수로 넣을 수 있는데, 이를 이용하면 realloc(buf, 0)을 호출하여 버퍼를 free시킬 수 있다.


바이너리에서 이 경우를 따로 처리해주지 않기 때문에 이를 이용한 uaf를 통해 member pointer가 free_hook을 가리키도록 하여 수정할 수 있다. 


libc leak은 그냥 unsorted bin - 0x10 leak 나는걸로 해결


https://github.com/Eyebrowmoon/ctf/blob/master/secuinside2017/babyheap/solver.py

저작자표시 비영리 변경금지 (새창열림)

'CTF' 카테고리의 다른 글

SECUINSIDE 2017 - ruma  (0) 2017.07.02
SECUINSIDE 2017 - ohce  (0) 2017.07.02
DEFCON 2017 Quals - faggin  (1) 2017.07.02
Christmas CTF 2016 - Nature Dream  (0) 2016.12.25
Christmas CTF 2016 - House of Daehee  (0) 2016.12.25
공유하기 링크
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
TAG more
«   2026/01   »
1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31
글 보관함