先查看程序开启的保护，发现保护全开

代码审计，我们发现存在一个off-by-one溢出一个直接覆盖到v8

上面是异议输入，下面会一一打印我们输入的内容

最后判断时候继续循环

首先我们通过off-by-one修改v8和v9的数值，从而泄露libc的地址和canary的数值，我们只要修改v9大于v8就可以通过打印出libc的地址和canary，同时也要算好偏移

然后我们用同样的方法劫持返回地址，写rop链即可拿到shell

完整的exp

首先我们先查看程序开启的保护

代码审计，首先存在一个格式化字符串漏洞，但是只能输入三个字符，所以没法任意地址泄露

之后存在一个整数溢出v5变量，我们跟进vlun，发现可以通过整数溢出，从而造成栈溢出漏洞

但是没有给我们pop rdi的gadget，所以没法直接通过put函数泄露libc的地址

由于上面存在一个格式化字符串漏洞，输入三个字符正好可以输入%p，从而泄露一个栈地址

我们可以通过栈溢出劫持rbp为buf+0x10的地址，然后劫持返回地址为格式化字符串漏洞的地址，从而实现任意地址泄露，由于rdi是rbp-0x10地址的数据，我们要劫持rbp为buf+0x10的位置，从而泄露libc的地址

之后在通过栈溢出漏洞getshell即可，但是要多打几次，有时候会崩栈

完整的exp

题目附件给了我们dockerfile的文件，我们可以从中获取libc的版本

代码审计，题目开启了一个简单的 TCP 服务器，它监听一个特定端口，接受客户端连接，并为每个连接创建一个子进程来处理客户端请求，同时监听了9999端口

查看主要逻辑代码 handler函数

开启了沙箱，禁用了getshell函数，我们用orw进行flag 的获取

vuln函数存在一个两个字节的栈溢出，但是每次运行的fd标识都是随机生成的，并且存储在在栈上

那我们的思路就是栈溢出+栈迁移来打

首先我们劫持rbp为bss段上的地址，然后跳回vuln函数

第二次迁移我们可以通过write函数来泄露libc的地址

第三次栈迁移我们书写read函数并且劫持rbp实现任意地址写

第四次栈迁移，我们可以写orw，但是需要先改段上的可执行权限，改完之后劫持rbp，将程序生成的fd标识，赋值给write函数，才能打印出flag

完整的exp

代码审计发现是一个菜单题，但是没有add、delete、show三个功能

add函数，存在一个off-by-one,可以修改到size的最后一个字节

delete函数，不存在uaf漏洞

show函数使用puts函数打印，遇到\x00就会截断，我们add的时候会往后置零，所以正常方法没法泄露地址

由于存在off-by-one，我们可以利用unsort bin合并chunk的特点，来向前合并chunk，从而合并没有free的chunk为一个大chunk，我们发现一个chunk是没有free掉的

我们在通过申请将libc上的地址，链到我们还没free的chunk上，然后打印出这个chunk就可以泄露libc了

之后再用同样的方法去劫持free的chunk中fd为free_hook，即可

完整的exp

首先附件给了我们一个自定义的连接库，猜测操作都在该链接库中

我们直接查看链接库，发现是一个菜单题

add函数，大小都做了限制

delete函数，存在uaf漏洞

edit函数

show函数

首先通过largebins泄露libc地址和heap地址

然后在通过largebins attack，将io_list_all链上一个堆地址，之后打 house of apple2,但是libc是2.39，我们参考大神的文章的攻击链

5d8K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4P5h3!0#2L8r3W2F1i4K6u0W2N6r3!0H3i4K6u0r3x3U0l9J5y4q4)9J5c8U0l9#2i4K6u0r3x3K6m8Q4x3V1k6Z5L8%4g2K6k6g2)9J5k6r3!0X3i4K6u0V1j5i4m8H3L8r3f1J5i4K6u0V1c8@1I4u0b7V1x3J5i4K6u0V1x3K6W2Q4x3V1j5`.

由于开启的沙盒我们需要改写，用orw进行flag读取

完整的exp

代码审计发现是一个菜单题

add函数，会申请一个0x30大小的chunk来存储数据，会将地址第一个申请的chunk存入0x4050的位置，之后申请的chunk就会存入0x4058+0x8的位置,并每次申请都会覆盖上一个chunk的地址，之后通过create_chunk函数来申请chunk

delete函数，没删除一个，count就会减一

edit函数，先free掉之前的，在申请一个chunk链接到之前的0x30chunk上

show函数

首先我们通过top chunk的合并，来泄露libc的地址和heap的地址

之后还存在一个gite函数，是一个任意地址，但是只有一次机会

利用思路：

1、首先通过top chunk合并，在申请泄露libc和heap的地址

2、在通过任意地址free来劫持teacher bin的fd实现任意地址malloc

3、劫持io_list_all,之后打house of apple2，来写one_gadget

完整的exp