这个题是修改自一个出现过很多次的题:20eK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2^5j5%4c8X3i4K6u0W2L8%4u0Y4i4K6u0W2j5$3&6Q4x3V1k6D9K9h3u0J5j5i4u0&6i4K6u0r3k6r3g2@1j5h3W2D9M7#2)9J5c8X3S2A6N6r3u0Q4x3X3c8I4N6h3q4D9M7#2)9J5k6o6t1H3x3e0S2Q4x3V1k6Q4x3U0x3K6M7r3W2Y4M7H3`.`.
思路是一样的,通过off by one再free掉来合并堆块,使得top chunk的大小小幅度缩减,多次操作后让top chunk的大小降到0x80以下,再分配一个会得到0x60的unsorted bin,使用secret功能进行覆写,然后使用house of orange的打法。所不同的地方就是secret的触发和top chunk的大小调整的次数,需要进行多次调试。打house of orange的方法是无堆地址的打法,利用的是io_str_jumps.
exp:
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
