정훈이형의 도움으로 문제를 풀게 되었다.
시험기간이여서 간단히 정리를 하자면
1. 청크내 가짜 청크를 만들고 아다리를 맞춘다.
2. free된 fastbin 크기의 청크에서 size필드를 수정하고 free를 함으로서 fd에 libc 주소를 적는다.
3. 적혀진 libc 주소 + 0.5바이트 브루트 포싱을 이용하여 stdout 구조체 근처에 할당& 수정(libc leak)
4. 3번에서 leak한 값을 바탕으로 __malloc_hook을 one_gadget으로 덮는다.
'CTF write-up > hackctf' 카테고리의 다른 글
| [hackctf] wishlist (0) | 2020.01.12 |
|---|---|
| Unexploitable_3 (0) | 2020.01.11 |
| [hackctf] - j0n9hyun's secret (3) | 2019.09.13 |
| [hackctf] childfsb (0) | 2019.08.26 |
| [hackctf] babyheap (0) | 2019.08.25 |