保护绕过cp $(which qemu-arm-static) . 尝试利用qemu执行httpd，有见到WeLoveLinux字样，ida直接定位到对应位置，其实就是start中_uClibc_main中的r0参数，即sub_2CEA8，但没有继续执行，调试发现称没有网络导致一直sleep(1)，发现因为check_network一直在尝试访问br0网络，跳过循环的方式就是，当尝试BGT时，会等

awdp fix 非常建议有个keypatch，功能非常强大且有效。不过不要完全依赖keypatch。 通用脚本如果目标目录非/home/ctf/可以自行修改。 update.sh 123#!/bin/shcp pwn /home/ctf/pwnchmod 777 /home/ctf/pwn 如果check检查上传文件的md5，但我之前上传过相同md5文件（例如说之前环境down了，有需要修复避

总结house of lore是一种smallbin attack，其可通过利用smallbin的bk指针以控制指定位置chunk的fd指针，从而实现分配到任意位置的chunk，进而修改任意地址的内存。假设可以满足smallbin最后一个chunk的bk指向fake chunk，并且满足bck->fd != victim的检测，那么就可以使fake chunk加入small bin的bk。

本题出自2016 seccon。基于GLIBC 2.23-0ubuntu11。 checksec 12345Arch: amd64-64-littleRELRO: Full RELROStack: Canary foundNX: NX enabledPIE: No PIE (0x400000) 主逻辑函数 123456789101112131415161

本题出自2020 gyctf。基于GLIBC 2.23-0ubuntu11。 checksec 12345Arch: amd64-64-littleRELRO: Full RELROStack: Canary foundNX: NX enabledPIE: PIE enabled main 12345678910111213141516171819202

本题出自2014 hack.lu。基于GLIBC 2.23-0ubuntu11.3。 checksec 12345Arch: i386-32-littleRELRO: No RELROStack: Canary foundNX: NX enabledPIE: No PIE (0x8048000) 主逻辑函数 12345678910111213141516

love看一眼就是非栈上格式化字符串加上栈溢出，修改v4等于v5，然后记录libc_base和canary，新线程获得canary的方法是和主线程的canary相同。 但是估计猜测原本是想搞TLS结构体，泄露canary可能是非预期解。目前本人还不会TLS求canary的做法，先给出一份利用格式化字符串漏洞泄露canary的做法。 然后额外先输入一次%p.%p.%p.%p.%p.%p.%p.%p.