0x00 写在前面

第一次接触FILE结构体，是在BCTF2018的baby_arena中，利用了FSOP，当时感觉结构体中字段太多了，没有理清楚到底是什么关系。也是时隔非常非常非常久，咸鱼的我终于开始系统的学习一下FILE结构体。本篇基于libc-2.27源码对该版本文件流的数据结构、相关操作以及一些常见的漏洞利用方法进行分析。

0x00写在前面

由于如今各种ELF文件libc版本跨度比较大，采用虚拟机模式显得过于冗余，于是准备将做题环境都放到docker中。原本打算是每个版本的libc找个docker，但很幸运地发现了一个名为skysider/pwndocker的docker，该docker为libc-2.27版本，其上除了正常的做题环境外还集成了多个libc的版本，可以用LD_PRELOAD来选择不同的libc版本，用习惯了之后还是挺方便的。就是每次要加载不同的libc时，process函数写的太长了，比较麻烦，然后以及原来写exp时pwntools的各种函数都时敲全名，借此机会封装了个傻逼库，以后更新博客也就都用这个库了。目前是函数的形式进行封装，等以后的功能多了可以考虑改成对象的形式进行封装。

0x00 写在前面

Tcache机制是在libc-2.26中引入的一个新的堆管理机制。掐指一算，libc-2.26发布距今应该也有一两年了。由于各种不可控因素，到近期才将其提上日程。

写在前面

本文为本科期间想不开报名的科技创新论文，由于重视程度不够以及时间分配不合理，最终赶在deadline前完成。希望这篇能够给在这方面存在疑惑的人提供一些参考和帮助，但同时由于本人研究深度不够等因素，导致本文中存在或多或少与实际情况不符的结论，希望大家提高甄别能力。

0x00 写在前面

最后一次参加国赛了额，无论队伍能否走到决赛，我都无缘参赛了，希望队伍能走的更远吧。这次国赛比起前两年的题目要简单的很多，大部分题目都很基础，漏洞点很明显，利用思路也异常清晰。利用毕设的闲暇时间整理下writeup

漏洞简介

Office很经典的一个栈溢出漏洞

0x00 写在前面的一堆废话

去年第一次把虚拟机磁盘空间20G用满进行扩容时折腾了好久，还请教了好多大狮虎，在参考各种博客、文章，经历了恢复快照xN，把虚拟机搞成命令行等艰难坎坷后终于成功扩容到40G，后来40G又到60G，一直都没有记录，恐忘，故以此文以记之。

0x01 Guess

• 程序功能

程序先将flag读入内存中，然后与用户输入相比较，程序会fork三次，在三次之后还猜不对则退出。

0x00 写在前面

今年被拦在了初赛的门槛，无缘深圳的决赛，看不到去年在网鱼看到了小姐姐了QAQ。初赛没有misc和简单的crypto，不是很亲民，只好当场去啃pwn题目。然后…发现要不就是晦涩难懂的C艹，能看懂的堆题要不就开了seccomp，要不就远程是个busy box，看的最明白的就一行gets函数加栈溢出get shell的又无从下手，果然很不亲民啊……

漏洞位置

在login函数中v3变量大小只有8，输入了0x10造成了溢出，溢出到v4造成了任意地址写，不过只能写成admin或者clientele。