学习前景

最近在参与V&N战队面试的时候，有问到一个问题就是，关于house of orange的利用方法，突然就心虚了。这个方法虽然我早有所耳闻，但是由于各种各样的原因，从来没有做过这个利用方法对应的题目，终于今天可以来试试了。

本来是在看Angelboy的视频来着，看到他有这个例题于是我就去github找，做完了才发现原来lab虽然序号一样，但是好像主题不是同一个。 阴差阳错做了这题，既然做了就放出来吧，不过我的写法不是最优写法。 题目中也有magic函数，但是我没用。

基础介绍

tcache：thread local caching，在libc2.26及以上系统中默认开始（Ubuntu 16.04中是2.23， Ubuntu 18.04中是2.27） 每个线程默认使用64个单链表结构的bins，每个bins最多存放7个chunk。 chunk大小在x64上以0x10递增(0x18 ~ 0x408)，在x86上以0x8递增(0xC ~ 0x200)。

听说BugKu上线了，从昨天下午做到了今天下午，正好一天时间，最后是做了87题，实在是做不动了，冲分就暂时告一段落，前面的题目还是比较水的。这里讲解一下花了我大概一个小时才做出来的题目，bingo。 题目是一个解锁包，解压得到一张图片。 刚开始的时候没看分类，以为是MISC题，然后找了半天隐写内容，都没做找到，但是这个文件这么大，肯定是有问题。 然后又仔细找了一下，结果发现了这样一段内容， 看上去内容好像是EXE程序中才会有的，于是看了一下分类，好家伙，原来是re题。 百度了一下png文件尾 PNG (png)， 　　 文件头：89504E47　 文件尾：AE 42 60 82 搜索 AE 42 60 82 这不就是熟悉的MZ文件头吗，用010 Editor提取出这一段内容。 并重命名为bingo.exe 结果报错了，随便找了一个exe文件，比对文件内容是否确实，发生少了PE文件头标识。 补上这一段内容。 数据补上后直接打开运行，发现可以显示黑框，但是运行后直接退出，于是打开IDA分析一下 ida打开后似乎认不出来文件的其他内容，动态调试后发现这一段内容会出现异常的情况。

这道题目我本来想作为，IO_FILE leak的一个例题来写。 结果…好家伙，这么难，花了将近半天的时间去调试这道题目，终于成功解决了，做了这道题目的收获绝对值这个时间！ 对IO_FILE攻击方式也加深了理解，趁着自己还记得，来写一下wp。

CTFHUB上面的一道题目，拖了很久都没解决，而且也找不到wp，今天发群里问了一下各位师傅，最后终于解决了！

感谢**@邛笼石影**师傅的指导！！！