Tag: heap-exploitation (26)

pwnable.tw > Food Store

Vuln: Con trỏ next trỏ đến Recipe tiếp theo ko đc init khi tạo Recipe mới, có thể bị lợi dụng để trỏ về chunk đã free, dẫn đến UAF, tạo chunk overlap.

tl;dr: Không chỉ setup heap cho mục tiêu ngay trước mắt, mà cần tính toán cho các bước về sau; Heap spray, rồi lợi dụng alignment khi cấp phát để kiểm soát uninit data.

pwnable.tw > Break Out

Vuln: Không xoá reference sau khi free, gây UAF và chunk overlap; Không kiểm tra con trỏ next trỏ đến object hợp lệ trong linked list.

pwnable.tw > Ghost Party

Vuln: Vi phạm Rule Of Three trong C++ do thiếu copy constructor, gây double free sau khi pass by value; Gán raw pointer vào thành viên class, pointer được free ngay khi out of scope, gây UAF.

pwnable.tw > Bounty Program β

Vuln: Không kiểm tra NULL trước khi sử dụng strtok().

tl;dr: Bounty Program α

pwnable.tw > Bounty Program α

Vuln: Không kiểm tra NULL trước khi sử dụng strtok().

tl;dr: Hành vi nguy hiểm của strtok(NULL, delim); Hàm calloc() bỏ qua tcache; Env var có thể tác động đến hành vi của ptmalloc.

pwnable.tw > Re-alloc Revenge

Vuln: Chương trình không kiểm tra cẩn thận sau khi sử dụng realloc, cho phép kẻ tấn công thực hiện use-after-free.

tl;dr: Partially overwrite địa chỉ libc, cần bruteforce với xác suất thành công 1/16; Có thể gộp các chunk liền kề nhau trong fastbin và đặt vào unsortedbin bằng cách trigger malloc_consolidate().

pwnable.tw > CAOV

Vuln: Chương trình C++ vi phạm cơ chế return by value của SYSV ABI, dẫn đến lời gọi destructor trên dữ liệu trên stack trước đó được attacker kiểm soát.

tl;dr: Cơ chế của sysv abi ở C++, trên C ko có cái này.

pwnable.tw > Heap Paradise

tl;dr: Chunk overlap, vừa trong unsortedbin, vừa trong fastbin; Partially overwrite ko cần leak libc; Ghi đè flags của stdout thành 0xfbad1800 và _IO_write_base để leak libc.

pwnable.tw > BookWriter

Vuln: Off-by-one error cho phép attacker ghi out-of-bound vào kích thước của page, dẫn đến buffer overflow tuỳ ý trên heap khi chỉnh sửa page content.

pwnable.tw > Secret Of My Heart

Vuln: Chương trình đặt null byte sau input của user không cẩn thận, gây 1 null byte overflow, ghi đè vào size của chunk liền sau, attacker có thể gây chunks overlap từ đó.

tl;dr: Lại là 1 null byte overflow; Heap chunk consolidation, overlapping.

pwnable.tw > Secret Garden

tl;dr: Bớt giả định, nhìn xem dòng code đang thực sự làm gì; Ghi one gadget vào realloc hook, ghi realloc vào malloc hook; hoặc ghi one gadget vào malloc hook và double free để trigger malloc printerr.

pwnable.tw > Spirited Away

Vuln: Chương trình sử dụng sprintf() cho ra chuỗi kết quả vượt quá kích thước buffer, gây buffer overflow ghi đè vào len, tiếp tục gây buffer overflow ở các buffer khác.

tl;dr: Buffer overflow rất tinh vi, check size buffer thật kỹ.

pwnable.tw > Tcache Tear

Vuln: Chương trình ép kiểu không cẩn thận từ int về unsigned, dẫn đến buffer overflow trên heap do có chênh lệch giữa kích thước cấp phát và kích thước thực tế được input.

pwnable.tw > Re-alloc

Vuln: Chương trình không kiểm tra cẩn thận sau khi sử dụng realloc, cho phép kẻ tấn công thực hiện use-after-free.

tl;dr: Hành vi của realloc() phụ thuộc nhiều vào tham số đc đưa vào.

pwnable.tw > hacknote

tl;dr: Đôi khi ko cần heap fengshui quá phức tạp; Cần để ý tham số cần truyền vào là gì, ko mặc định plt giống với hàm wrapper custom của chương trình.

0xL4ugh CTF V5 > Alice

Vuln: Vẫn giữ reference sau khi free, dẫn đến use-after-free.

BtS 2025 > HexDumper

Vuln: Chương trình tin rằng count > 0 khi dùng Duff's device để copy dữ liệu, nhưng attacker có thể đưa count = 0 qua input không được validate, dẫn đến buffer overflow 8 byte trên heap.

tl;dr: wide_vtable chưa bị validate như vtable.

WannaGame Championship 2025 > oop

Vuln: Chương trình tin rằng việc Person trong Note được copy tạo ra một object độc lập, tuy nhiên trên thực tế, shallow copy được thực hiện, dẫn đến có 2 Person object cùng có description trỏ đến một vùng nhớ -> use-after-free.

tl;dr: Để ý kiểu copy của object, shallow hay deep?

VCS Passport 2025 > pwn

Vuln: Chương trình cho rằng buffer cần ghi có độ dài 256 bytes, nhưng trên thực tế trước đó buffer có thể được cấp phát ít hơn 256 bytes, dẫn đến heap buffer overflow.

VCS Passport 2024 > PWN2

Vuln: Chương trình tin rằng chỉ cần node tại index không phải null thì có nghĩa là hợp lệ, tuy nhiên trên thực tế attacker có thể free node mà không set null, dẫn đến use-after-free.

CSCV 2025 Jeopardy Final > Calc

Vuln: Chương trình tin rằng sau khi gặp lỗi và throw exception chia cho 0, Expr con đều đã được cleanup và không còn reference, tuy nhiên tại exception handler, không có code cleanup khiến Expr cha vẫn giữ reference đến Expr con, dẫn dến double-free khi gặp lỗi lần sau.

HTB Cyber Apocalypse CTF 2025: Tales from Eldoria > Strategist

Vuln: Chương trình tin rằng dữ liệu được ghi vào sẽ không vượt quá kích thước chunk được cấp phát, nhưng trên thực tế kích thước overflow dẫn đến ghi đè vào size của chunk sau do sử dụng strlen().

ASCIS Final 2024 > BugBounty

Vuln: Chương trình tin rằng messages[index] luôn trỏ tới buffer còn sống, nhưng attacker có thể free rồi dùng lại qua cùng index do không set con trỏ về null, dẫn dến use-after-free.

picoCTF 2023 > Horsetrack

Vuln: use after free - dangling pointer.

picoCTF 2024 > high frequency troubles

Vuln: house of orange + heap buffer overflow - improper length check in gets().

Random stuff > Heap Exploitation Technique - House of Orange