题目搭建用的是：
https://github.com/giantbranch/pwn_deploy_chroot.git
感谢师傅，是真的方便，适合我这种懒狗。

本次新生赛PWN的做题情况比我想象中要好很多，很多新/老同学都愿意慢慢研究or接触PWN的技术，作为出题人挺开心的。

题目简单解析如下：

直接覆盖返回地址即可。

用一条pop_rdi的gadget控制system的参数为'/bin/sh'字符串的地址，然后用system在PLT中的表项调用system("/bin/sh\x00")

32位静态编译。留了个坑，gcc这个版本下编译到32位会对取返回地址的过程做一个简单的处理，所以不能直接覆盖返回地址，需要构造跳转。

首先覆盖canary低位的\x00，然后泄露canary，最后把canary拼到payload里，覆盖返回地址。

通过格式化字符串使用%p可以泄露pie和libc。
接下来使用%n覆盖main函数返回地址即可。
注意由于 sprintf(format,"Repeater:%s\n",s); 造成了栈中数据不对齐，需要手动补位对齐一下。

源码如下：

简单的64位栈迁移。
源码如下：

给了system，并且一开始给出了栈地址，那么就把栈迁移到本来的位置就行，然后读入'/bin/sh'，哟弄个pop_rdi控制参数，最后调用system即可。

简单的UAF。

第一个思路是通过在fastbin中double free然后修改全局的chunks表中某一未free的buf的地址(如果有不清楚fastbin中doublefree的请看fastbin中的doublefree)，让这个地址指向got表中free函数对应的地址，然后edit编辑这个buf，等价于修改了got表中free函数的地址，我们将free函数的地址改为system函数的地址，然后将shellcode写在某一未free的buf的chunk上，然后free这个buf，此时相当于调用了system(“bin/sh/“)

通过申请一个0x80的放入unsortbin和一个0x10的放入fastbin；然后再申请0x60，此时造成unsortedbin中的chunk被切割，返回的还是之前的chunk，UAF了（只不过此时的size变成0x60）
然后show（）拿到main_arena地址进而获取malloc hook的地址，继而获取libc_base。
再删掉这个0x60的块（del时不检查这个块是否被删过了），把它放到fastbin
此时再直接编辑这个在fastbin中的块，直接改他的fd指针到malloc_hook-0x23。
然后再把它申请回来，此时fastbin指向fakechunk（malloc_hook-0x23）
然后调用add写这个fakechunk，改realloc hook为ogg，同时改malloc hook为realloc+偏移来调整栈空间确保满足ogg的条件

glibc2.23，漏洞点一个uaf一个off-by-one，那么由于没有show，那么思想就是在fastbin中踩出一个指向main_arena的指针。通过off-by-one做overlap即可。最后劫持mallochook为ogg即可

具体做法其实就是当有off-by-one时考虑，做overlap，假如可以修改pre_in_use位，那么比如说先申请三个chunk，0，1，2（其中0号为大chunk可直接进入unsortbin，1号为0x68小chunk，2号为大chunk可直接进入unsortbin），先del(0)，再del，add1号，对2号使用off-by-one，同时伪造pre_size位为0+1号的总size合（注意申请1号chunk大小以0x8结尾，方便off-by-one），此时指示0，1号chunk为free状态，再del（2），此时触发unsortbin的前向合并，0、1、2三个chunk被合并放入unsortbin，然后再单独del（1）使其进入fastbin，此时1号chunk被overlap，他既在unsortbin又再fastbin。

这个过程做两次，第一次踩出来用来打stderr+157泄露libc，第二次用来劫持mallochook

strdup实际开的堆与size不一致导致堆溢出。无free，考虑劫持借助堆溢出把top chunk拉入unsortedbin做unsortbin attack，向bss上存chunk地址的表上写一个main_arena地址，然后打stdout泄露libc，最后劫持atoi为system，传入/bin/sh\x00即可

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)