zer0ptr's blog

Overview unlink俗称脱链，就是将链表头处的free堆块从unsorted bin中脱离出来，然后和物理地址相邻的新free的堆块合并成大堆块(向前合并或向后合并)，再放入到unsorted bin中。 危害原理：通过伪造free状态的fake_chunk，伪造fd和bk指针，通过绕过unlink的检测实现unlink使其往p所在的位置写入p-0x18，从而实现任意地址写的漏洞。 漏洞

Overview chunk extend 是堆漏洞的一种常见利用手法，通过 extend 可以实现 chunk overlapping 的效果。这种利用方法需要以下的时机和条件： 程序中存在基于堆的漏洞 漏洞可以控制 chunk header 中的数据 ptmalloc对堆进行操作时使用的宏chunk extend 技术能够产生的原因在于 ptmalloc 在对堆 chunk 进行操作时使

Description off-by-one漏洞是一种特殊的缓冲区溢出漏洞，其特殊之处在于off-by-one漏洞仅允许溢出一个字节，且该溢出字节未必是可控的。off-by-one漏洞常见于以下两种情况： 错误地设置了循环的边界（如将”<“误写为”<=“）； 错误地使用了字符串处理函数字符串处理函数&zhida_source=entity)（不同的字符串处

glibc_malloc_chunkOverview在程序的执行过程中，我们称由 malloc 申请的内存为 chunk 。这块内存在 ptmalloc 内部用 malloc_chunk 结构体来表示。当程序申请的 chunk 被 free 后，会被加入到相应的空闲管理列表中。无论chunk的大小、状态如何，他们都是使用同一数据结构——malloc_chunk，只不过是表现形式有所不同。 ma

基本信息 Title: RefleXGen: The unexamined code is not worth usingAuthors: Bin Wang, Hui Li*, AoFan Liu, et al.Affiliations: School of Electronic and Computer Engineering, Peking University (Shenzhen); Chi

原理在目前的 C 程序中，libc 中的函数都是通过 GOT 表来跳转的。此外，在没有开启 RELRO 保护的前提下，每个 libc 的函数对应的 GOT 表项是可以被修改的。因此，我们可以修改某个 libc 函数的 GOT 表内容为另一个 libc 函数的地址来实现对程序的控制。比如说我们可以修改 printf 的 got 表项内容为 system 函数的地址。从而，程序在执行 printf 的

原理 利用格式化字符串漏洞来劫持程序的返回地址到我们想要执行的地址。 例子 - 三个白帽 - pwnme_k0Checksec12345678# zer0ptr @ DESKTOP-FHEMUHT in ~/CTF-Training/Pwn/fmtstr/hijack_retaddr on git:master x [12:45:55] $ checksec pwnme_k0[*] '

基本信息 Title: Large Language Models for Code:Security Hardening and Adversarial TestingAuthor: Jingxuan He, Martin Vechev (ETH Zurich)Conference: ACM CCS 2023PDF: https://arxiv.org/pdf/2302.05319 该文章

原理 其实 64 位的偏移计算和 32 位类似，都是算对应的参数。只不过 64 位函数的前 6 个参数是存储在相应的寄存器中的。但是在利用格式化字符串时，虽然我们并没有向相应寄存器中放入数据，但是程序依旧会按照格式化字符串的相应格式对其进行解析。 例子2017 UIUCTF pwn200 GoodluckChecksec:123456789101112131415# zer0ptr @ DESK