又是libc2.27的pwn题。漏洞点在fast_free功能中,此功能采用多线程的批量free。线程代码中有如下语句:
存在uint8整数溢出,可得到指向free空间的野指针,并能double free,leak libc通过unsortedbin实现,最终改写tcache的fd,malloc改写__free_hook指针get shell。此题比较麻烦的是没有edit功能,所有只能通过malloc功能去写。具体exp如下:
__free_hook
malloc
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
