pwn на CTF: какой набор для heap-эксплойтов под glibc 2.39 актуален?

[filipp_code88]

Подскажите по pwn. Раньше учился по how2heap, но там много техник уже мертвы на новых glibc. На 2.38/2.39 что из tcache-атак ещё живо? tcache poisoning вроде порезали указателями.

[pynode5808]

Да, с 2.32 завезли safe-linking (XOR указателей с адресом чанка) и выравнивание. tcache poisoning жив, но тебе нужен heap leak чтобы расшифровать fd. House of Botcake, House of Apple 2 (через FILE) и tcache stashing unlink сейчас рабочая классика.

[matvey5884]

House of Apple 2 для FSOP реально мастхэв сейчас, когда хук'и __malloc_hook/__free_hook выпилили в 2.34+. Учи _IO_FILE структуры и vtable check bypass через _IO_wfile_jumps.

[olga_tcp]

О, про выпил хуков я и забыл, спасибо. То есть классический 'перезаписать __free_hook на system' больше не катит на свежих образах?

[dnscache8196]

Не катит с 2.34. Сейчас стандарт это FSOP либо перезапись __exit_funcs / tls-dtor. Ставь себе patchelf + glibc-all-in-one, тестируй эксплойт на той же версии что в таске, иначе оффсеты разъедутся и будешь час дебажить.

[polina_data30]

glibc-all-in-one и pwninit поставил, оффсеты теперь не пляшут. Завёл House of Botcake на тренировочном таске, кайф. Спасибо мужики!

[luka4904]

для дебага ещё gef или pwndbg обязательно, голый gdb на хипе это самоистязание

[pavel_sys]

На glibc 2.38–2.39 из tcache-техник живее всего остаётся tcache stashing unlink + largebin attack в связке. tcache poisoning с safe-linking (появился в 2.32) не мёртв — он требует утечки heap-адреса для XOR-декриптовки указателя, что на CTF обычно есть через отдельный инфо-лик. Актуальный ресурс — репозиторий **how2heap от shellphish** ветка glibc-2.39 (они поддерживают живые примеры), плюс смотри writeup'ы с pwn-задач последних HITCON и corCTF — там авторы явно пишут какая версия glibc.

[timur_x]

House of Apple 2 и House of Karma — это то что сейчас реально работает на 2.38–2.39 когда tcache прямая атака закрыта. Суть в атаке через _IO_FILE структуры (_IO_wfile_jumps, FSOP). Ищи по тегу "FSOP" на ctftime.org, там десятки свежих writeup'ов с кодом под новые версии. pwndbg с командой heap покажет всё дерево чанков прямо в gdb, это сильно ускоряет отладку по сравнению с голым gdb.