参加第一场，侥幸做出两道pwn和签到就进了前50。。貌似自己是前五十做题数量最少的。。时间不够就做出两道babyheap及GUESS。分数全靠babyheap来的。。

程序除了没开启pie其他保护都已开启。

很全面的菜单题。有create，edit，show，free功能。

create功能，能创建10个大小为0x30的堆块。并能进行写入。无漏洞点。

edit功能。每次edit会使dword_6020B0值+1.当dword_6020B0值为3时，不能进行edit。作用是限制只能进行三次edit。无漏洞点。

show功能，输出堆块内容。用于信息泄露

free功能。free功能存在明显的UAF漏洞，悬挂指针未请空。free功能无限制，可以任意次数的free。

程序存在UAF漏洞，难题在于如何通过10次0x30大小的堆块创建及三次的edit完成内存的写入及信息的泄露。
这里先考虑如何完成内存写的问题。malloc的大小被固定，于是fastbin attack不可行。
再考虑unlink。程序未开启PIE，且存在edit功能，若我们能实现unlink，就可以写入保存堆块的地址，实现任意地址写。
但是fast chunk不存在unlink，我们需要free两个small chunk。这里我们可以通过在堆块的特定部分写入0x31实现fastbin attack写入下一个堆块头。使三个0x30chunk组成一个0x91的chunk，free掉。就可以实现unlink。unlink后还要突破edit次数为3的限制。下一部分仔细说。这里总结思路。
首先通过fastbin泄露堆的地址。通过堆的地址及UAF漏洞实现fastbin attack，修改特定堆块的size为0x91。
最终实现0x91 fd bk。。。。。。0x90 0x90
free下面的堆块实现unlink，此时就可以向保存堆块的数组写入。
因为在上面构造过程会使用掉edit的次数。所以我们需要突破edit的限制。即修改dword_6020B0值不为3.
之后就可以向free_hook写入system。free掉bin/sh。完成利用。

a=malloc（0x20）
b=malloc（0x20）
c=malloc（0x20）//防止和top chunk合并
free(b)
free(a)//先free a会导致最低位为0x0.输出不出来
show（b）//泄露出heap的地址。

a=create（0x20,p64(0x31)3）
b=create（0x20）
c=create（0x20）
free(b)
edit(b,&a+0x10)
d=create（0x20）
e=create（0x20）
就可以覆盖c的堆块头。这里消耗两次edit制造两次fastbin attack。
构造过程如下
create(1,p64(0x31)3+chr(0x31))
create(2,’/bin/sh’)
create(3,’’)
create(4,p64(0x31)*3)
create(5,’’)
create(6,’’)
create(7,’’)
先创造7个堆块

free 3和2进行堆地址泄露

通过两次edit和两次create实现如图构造。已使用10次create及2次edit

[培训]传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！