堆漏洞offbynull offbynull是offbyone的特殊情形，溢出的字节不能被我们所控制，只能溢出一个\x00，但是依然是可以利用的。现实中更为常见，因为字符串截断会在末尾加个空字符，如果边界检查不严格，就会出现offbynu

堆漏洞offbyone offbyeone：一个简单又比较实用的漏洞，是在堆溢出只能溢出一个字节的时候使用。 0x01 offbyone原理分析假如题目存在offbyone漏洞，堆中有ABCD四个已经被分配的大小为0x70的chunk

0x01 buuctf_babyheap_0ctf_2017 牢骚：第一次做堆题，改exp改了特别长时间，结合别的师傅的wp才做出来的，心累……写篇博客当做里程碑。如果对基础知识不太懂的看看这篇博客，这里不作过多赘述：知识补充综合网上师傅和

linux动态内存管理（堆基础）终于到了堆，这里是学pwn的分水岭，是新人杀手，每一届都会有很多人在这被劝退改方向，因为堆确实很玄学。 导入我们之前学过，栈上存储的是一个函数的局部变量，bss存储全局变量。如果用户向程序输入一个几千字的留言

攻防世界Recho对于这题有两个知识点要讲1、got表劫持2、pwntools的shutdown用法场景先checksec一下：开了NX保护机制看起来还行，但作为进阶pwn应该不会太简单。拖进IDA查看：代码不会花里胡哨，没有调用杂七杂八的

攻防世界——实时数据监测这题思路很简单，难度大大降低了，本来是一道盲打题，但给了文件就很清晰了，主要是记录一下一个pwntools的新用法checksec：看到没开任何保护，经验就告诉我，这是一道盲打改编题。拖进IDA：逻辑很简单知道吧ke

babystack-wp对于这题和pwn-100的思路很像，也是一道retlibc3的题目，这题也学到了很多，故写一篇博客记录一下。老样子checksec一下：开了Canary、NX和RELRO无法改写got表拖进IDA查看：有两个函数被调

这是一种很新的monkey……本来不打算写这题的博客的，也不知道要这么写 但还是想记录一下，毕竟是新题型，不知道常不常见……checksec一下：发现没什么异常，估计是栈溢出。但是拖进IDA查看时，人麻了，IDA解析了半天给出了长长的函数

攻防世界 pwn-100 wp这里要记录三种新的知识：一种是retlibc3和LibSearcher库的应用以及exp的新语法checksec一下：64位文件，只开了NX保护只可能是栈溢出了。这里的代码不长一步一步看下去，是一个嵌套性函数。

盲打题warm_up碰到这题的时候以为是题目忘记给附件了，竟然没有题目……后来搜了一下我才知道：我在做一种很新的题目……在碰到这个没附件的题目的时候，就可以做好打盲打的准备了，很显然第一次碰到，一脸懵逼，故打卡记录看了一下确实是什么反应都没