记录内容借鉴来源https://www.yuque.com/cyberangel/rg9gdm/vsh3kd

溢出一个可控字节从而且更改chunk的大小以及状态（即insure位）

可以造成堆重叠的效果这里就联合overlap，extend一起记录

demo

demo

demo

demo

demo

以上操作都可以通过off-by-one实现，前向合并只需要分配0x x8大小的chunk

就可以控制pre_size同时配合off漏洞控制insure。

https://github.com/ctf-wiki/ctf-challenges/tree/master/pwn/heap/chunk-extend-shrink/hitcontraning_lab13

off by one 漏洞

题目的chunk拥有内容chunk和管理chunk，其中的管理chunk有有效

指针指向内容chunk，

我们利用off by one构造overlap形成堆复用，控制有效指针

exp

由于free后未置空指针，导致的use after free

亦或是，因为在heaparry中含有free or not的标识，但是功能中

含有标识恢复的功能导致的uaf（祥云杯2021升级密码箱）

由于比较简单一般不会单独作为题目出现，往往结合别的漏洞复合使用

附件下载：
链接：https://pan.baidu.com/s/19StzpwizVbeyNEcY48XcFQ
提取码：oqlh

unlink的公式如下

fd=point_addr-0x18

bk=point_addr-0x10

伪造chunk成功后会在下两次申请到的chunk申请到point_addr

以2014 HITCON stkof为例进行讲解：
https://github.com/ctf-wiki/ctf-challenges/tree/master/pwn/heap/unlink/2014_hitcon_stkof
参考资料：
https://blog.csdn.net/qq_41202237/article/details/108481889 #主要思路
https://wzt.ac.cn/2018/10/16/s-pwn-project-4/ #payload来源
感谢@hollk师傅的文章
附件下载：
链接：https://pan.baidu.com/s/1tXTaLajFHdKB0Ofxnk8V4Q
提取码：z4p6

题目本身在edit的时候存在堆溢出，但是没有show所以需要构造

exp如下

demo

以iscc 2018的Write Some Paper为例进行讲解，不懂的可以看看上一节的内容
程序来源：https://github.com/mhzx020/Redirect
参考资料：https://xuanxuanblingbling.github.io/ctf/pwn/2020/02/02/paper/
附件下载：
链接：https://pan.baidu.com/s/1pBxc_-8pqJr9MRlA2AvxHQ
提取码：2onz

简单题，给了后门，更改got表为后门地址，利用double更改指针就行了

epx

1伪造堆块
2覆盖堆指针指向上一步伪造的堆块
3释放堆块，将伪造的堆块放入fastbin的单链表里面（需要绕过检测）
4申请堆块，将刚才释放的堆块申请出来，最终可以使得向目标区域中写入数据，以达到控制内存的目的。

lctf2016_pwn200 https://gitee.com/LightInfection/ctf/tree/master

exp

在开始的money之后的输入存在栈溢出，而且没有'\x00'截断puts的时候就可以带出rbp

我们到时候利用栈溢出把rbp的位置改成fake_chunk的位置，接着利用fake chunk控制rip最后退出程序就可以执行shellcode

非常好的一道堆栈结合

参考资料：https://wiki.x10sec.org/pwn/heap/fastbin_attack/#alloc-to-stack
https://xz.aliyun.com/t/7490
附件下载：
链接: https://pan.baidu.com/s/1dplP_JkSdl9M7F9sUEDVeQ 密码: mbht
--来自百度网盘超级会员V3的分享

参考资料：
https://wiki.x10sec.org/pwn/heap/fastbin_attack/#arbitrary-alloc
附件：
链接: https://pan.baidu.com/s/18qfkOMauvySSfHkSLjIvvQ 密码: 911k
--来自百度网盘超级会员V3的分享

fastbin_attack中的Arbitrary Alloc（例题）

题目来源：0ctf 2017 BabyHeap
参考资料：
https://blog.csdn.net/qq_36495104/article/details/106202135 #思路
CTF-wiki
https://www.yuque.com/hxfqg9/bin/bp97ri#sKWXZ #payload
https://blog.csdn.net/counsellor/article/details/81543197 #关闭地址随机化

附件：
链接: https://pan.baidu.com/s/1uG2cfQae0iwULtYvRmEBIw 密码: f1i6
--来自百度网盘超级会员V3的分享

漏洞在edit存在堆溢出，堆溢出，打fastbin

exp

题目来源：HITCON Training lab14 magic heap
附件：
链接: https://pan.baidu.com/s/1xtxgobatE9yWFKkEsL6JLg 密码: 44km
--来自百度网盘超级会员V3的分享

白给题堆溢出，没开PIE直接打unsortedbin改bk

exp

tcache poisoning的基本原理是覆盖tcache中的next域为目标地址，通过malloc来控制任意地址。
这种攻击方法不需要伪造任何的chunk结构。

demo

参考资料：
https://faraz.faith/2019-10-20-secconctf-2019-one/
https://github.com/SECCON/SECCON2019_online_CTF
题目来源：SECCON 2019 Online CTF: one (pwn, heap, glibc-2.27)
附件下载：
链接:https://pan.baidu.com/s/1nDee9BZ1RMhl3bfjHPSjsA 密码: 8qjs
--来自百度网盘超级会员V3的分享

题目就一个UAF非常简单，Ubuntu18的2.27版本，double free都不用去改bk上的key，也不用去中间free个别的直接freeok

直接改fd控制unsortedbin泄露libc打free_hook

exp

参考资料：
https://www.cnblogs.com/Theffth-blog/p/12790720.html
https://blog.csdn.net/weixin_43833642/article/details/107166551
题目来源：BUUCTF-[V&N2020 公开赛]easyTHeap
附件：
链接:https://pan.baidu.com/s/1T1pV_mbUEPXCg-vlu_Yw7w 密码: 5fnk
--来自百度网盘超级会员V3的分享

chunk大小小于0x100

UAF漏洞double free 泄露heap改tcache得到unsortedbin泄露libc直接随便玩

exp

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课