博客日记（长期更新中）

入坑电子的第一步

引言：近年来，对于用户态的堆利用已经十分成熟，但是，在打击点（控制流）方面还是十分单一，不过是malloc hook/free hook的利用（当今能够轻松进行GOT篡改和栈返回地址篡改的题目确实已经很少了），_IO_FILE利用逐渐风靡。说到_IO_FILE，我们其实可以将其当作用户态对于系统调用的包装，它使得开发者能够更加透明地利用系统文件的读写，并且隐藏块读取（设备友好）和字节读取（开发者友

前言glibc的ptmalloc堆管理器的利用一直是CTF Pwn中的重点，但是其复杂性和利用方法的多样性让人难以理清“对于一个漏洞，到底需要怎么样的利用方法来实现getshell？”这种问题。本文留作CTF赛前的复习资料，将会把malloc，free的过程以及检查点，漏洞利用点进行总结，以及近年以来的堆上保护措施的概览。为了更加清晰地展示malloc和free的变化，基础分析将从glibc-2.

（一）目标活跃变量分析可以分辨某个变量v的值在程序的p点之后会否再用到。即，是否存在一条路径从点p到结束点，使得变量v的值在v被重定义或者结束之前被用到。

一、引言 在用户态的单线程程序中，以ptmalloc为例，malloc函数分配的空间仅在该进程的用户空间中可见，堆块的申请和释放仅仅和本进程内部的malloc与free有关，只要进程对于堆块的操作和堆分配器的策略已知，那么在某一时刻堆分配的结构就是已知的。这样的性质对于用户态堆溢出和uaf的利用来说十分有帮助。

0、引子先说点小遗憾吧：笔者水平所限，关于linux是如何实现设备文件化以及如何实现LKM的没能深入探究，本节着重于「如何使用」的实用角度来了解LKM。后续如果笔者水平有所提高，会从更加细致的角度来进行探究。