bcloud_bctf_2016(house of force)

例行检查我就不放了，该程序是32位的程序

将程序放入ida中

进行代码审计

 首先这这里有一个off by null 可以通过这里泄露出来第一个chunk的地址信息

 这里也有同样的问题，我看ha1vk师傅的解析说可以通过v3的值修改top chunk 的大小从而使用house of force 

“我想了一段时间后才相通的，当我们把org栈里面填满后往host第一个位置放上0xffffffff，经过strcpy的复制后会把rog的栈里面的数据复制到v2里面，因为strcpy复制的特性到\0停止，所有还会复制我们所写的0xffffffff，这样我们就修改了topchunk的size大小为0xffffffff

从而可以house of force”

查看add和其它的函数

 可以看到0x804b120的位置存放着chunk的指针所以我们可以通过申请到这里

完整exp如下

 这里附上海师傅的博客

(16条消息) bcloud_bctf_2016(house of force)_seaaseesa的博客-CSDN博客

还有一个师傅讲的非常好

bcloud_bctf_2016 - LynneHuan - 博客园 (cnblogs.com)