1. malloc_consolidate()와 double free bug를 이용해 fastbin과 smallbin에 같은 청크가 2번 있게한다.
2. fastbin에 있는거 받아서 안에 fake chunk를 구성하되 다음 청크의 prev_size를 0x20으로 변경
3. 2번에서 받은 청크의 다음 청크를 free -> unlink 호출(prev_inuse가 셋팅안됨)
4. 3번의 unsafe unlink로 bss 영역을 수정할 수 있으므로, big, huge chunk ptr의 값을 수정 -> libc leak, one_gadget 이용
'CTF write-up' 카테고리의 다른 글
| [TRUST-CTF 2020] Fast Restaurant 출제자 writeup (0) | 2020.02.25 |
|---|---|
| [hacktmctf] trip_to_trick (0) | 2020.02.07 |
| [wargame.0x0.site] babyheap 라이트업 (0) | 2019.10.12 |
| Tokyo Western CTF 2017 - Parrot (0) | 2019.10.02 |
| [hackingcamp2019]bonus (0) | 2019.08.25 |