老套路,查保护和看文件架构。
这是一道堆的题目,刚接触不怎么会,看看大佬的WP吧
分析题目,没有开PIE,FORTIFY好像在这里没什么影响。题是菜单选择题,allocate,free,reallocate。给定了bss段上面的两个位置可以存chunk,输入size和index时,使用的是atoll返回。
free过后清零, 但是realloc函数在size为0时同样执行free操作,而reallocate函数中并没有检查size的下界,
tcache在libc2.29新增了一个key,防止double free。(libc2.29具体新增的保护机制措施见:libc2.29)
因此只有一个UAF。输入的时候还有一个off-by-null,这里没用。
具体的利用思路是通过UAF把tcache的某个next改为atoll@got,然后分配到这个位置修改got表为printf,打印libc地址,然后再修改为system的地址即可。
有几个值得注意的点:
在从tcache中取堆块的时候,会检查对应链表的计数,所以要保证在分配到atoll@got时,该条链表中有足够的count。
保证正在使用的chunk是和top chunk相邻的,这样才能成功地在原地址上进行拓宽,放到和next为atoll@got所在的链表不同的tcache链表上去。
第二次更改atoll@got的时候,不能直接