web选手入门pwn(21) ——网鼎杯PWN01

文章预览

给了libc，用2.31-0ubuntu9_amd64做。 保护全开，很漂亮的增删改查 先看增，限制了chunk数量和chunk大小，没法用fastbin。chunk_index/chunk_length，以及ptr(chunk_list)都明明白白的写在bss段，点赞。 删，去除了指针，没有UAF，但是似乎是通过ptr偏移做到的，这儿似乎有点问题。 查，也是通过ptr偏移做到的，那么确定这里有问题。 gdb中调试一下，新增两个chunk 如果删除一个，再新增同样大小的，c0会消失，多一个c2，回收c0原来的地址。 但因为删查是通过ptr偏移做到的，显然，如果能向bss段上写一个完全控制的地址，可以做到任意地址删和任意地址查。 比如bss段上面有got表。 那么show(-18)会怎么样呢？ 可惜，只会泄露libc上exit的汇编代码。 因为ptr上储存的是一个地址，而show会打印这个地址上的值，而我们期待的是这个地址上再储存一个地址，这样就有可能泄露libc/ ………………………………