Houseof系列总结
2026-04-28 1.1k 字 5 分钟

Houseof系列总结

House of 系列总结 House of Force 机制:通过溢出覆盖 Top Chunk 的 size 字段为一个极大的值(如 -1),使得后续的堆分配操作可以跨越到内存空间中的任意地址(如 bss 段、GOT 表或栈)。 适用环境:glibc 2.27 及之前未对 Top Chunk 进行严格尺寸校验的版本。 House of Spirit 机制:在目标地址(如栈或 bss 段)手动伪造一个合法的 chunk 头部结构,然后将其指针传递给 free 函数使其进入 Fastbin 或 Tcache。后续执行 malloc 即可直接获得该目标地址的控制权。 House of Orange
index
2026-04-28 1.9k 字 8 分钟

index

格式化字符串利用方式参考资料:https://www.yuque.com/cyberangel/rg9gdm/vh62v6#4W6x9 格式化字符串漏洞的原理格式化字符串漏洞本质上是程序没有正确处理格式化字符串参数导致的安全问题。简单来说: • 编程语言中(如 C/C++)的printf、sprintf等函数支持格式化输出(比如%s输出字符串、%d输出数字)。 • 正常用法是:printf(“%s,%d”, 名字, 年龄)第一个参数是固定的格式化模板,后续是对应的数据参数。 tip):%d(打印一个整型),%s 字符串(打印一个字符串),%c(打印一个字符),%x(以十六进制打印)
libc_start_main
2026-04-28 1.7k 字 8 分钟

libc_start_main

libc_start_main在 pwn 题目当中,我们经常会选择寻找 libc_start_main 函数来泄露 libc 基地址。 我们想要泄露的是 __libc_start_main 相关的地址,这个地址其实就是 main 函数执行完后的返回地址。 返回地址永远存放在 ebp 的正下方,即高地址处,也就是 ebp + 4。下面来简单介绍一下这个函数的原理和调用方法。 libc_start_main在 C/C++ 程序的生命周期中,__libc_start_main 是一个极其核心的幕后英雄。很多人以为程序的执行是从 main() 函数开始的,但实际上,在 main() 被调
HouseofRabbit
2026-04-28 20 字 1 分钟

HouseofRabbit

House of Rabbit 更新: 2026-04-26 12:31:51原文: https://www.yuque.com/idcm/wnemg9/tlohtg5p20y48e96
HouseofPig
2026-04-28 20 字 1 分钟

HouseofPig

House of Pig 更新: 2026-04-26 11:48:25原文: https://www.yuque.com/idcm/wnemg9/mhlguz0yeailrgmr
HouseofCat
2026-04-28 20 字 1 分钟

HouseofCat

House of Cat 更新: 2026-04-20 15:47:34原文: https://www.yuque.com/idcm/wnemg9/xexm1m9dqo3tgndg
HouseofOrange原理
2026-04-28 1.8k 字 8 分钟

HouseofOrange原理

House of Orange 原理参考资料:https://blog.csdn.net/yjh_fnu_ltn/article/details/141143144 什么是 House Of Orange:House of Orange 与其他的 House of XX 利用方法不同,这种利用方法来自于 Hitcon CTF 2016 中的一道同名题目。由于这种利用方法在此前的 CTF 题目中没有出现过,因此之后出现的一系列衍生题目的利用方法我们称之为 House of Orange。在此之前,我们复习一下内存的分配与回收: sbrk&mmap复习一下 s
Heap与Bins命令
2026-04-28 609 字 3 分钟

Heap与Bins命令

Heap 与 Bins 命令1. heap 命令的原理:顺藤摸瓜(线性遍历)pwndbg 的 heap 命令是个“老实人”。它解析堆的方法是从堆的最开头(Heap Base)开始,挨个读取每一个 chunk 的 Size 字段。 读到 Chunk A,Size 是 0x290,于是它跳到 Addr + 0x290 去找 Chunk B。 读到 Chunk B,Size 是 0x20,于是它跳到 Addr + 0x20 去找 Chunk C。 依此类推,直到找到 Top Chunk 为止。 2. 致命的断链:为什么卡在 0x...9d20?在你执行 free(3) 触发 向后合并(Backw
HouseofBotcake
2026-04-28 20 字 1 分钟

HouseofBotcake

House of Botcake 更新: 2026-04-25 20:38:26原文: https://www.yuque.com/idcm/wnemg9/qqi8qrvhoqvqv4uy
HouseofBanana
2026-04-28 20 字 1 分钟

HouseofBanana

House of Banana 更新: 2026-04-20 15:48:09原文: https://www.yuque.com/idcm/wnemg9/ekzm2qwvp90s5lcr