有一天，老师给A君布置了一道作业，要求写一个命令行交互的简单选课系统。调皮的B君拿到了A君作业的二进制文件，本想练习一下自己的逆向能力，却发现其中存在一个bug，也许可以实现利用。

1. Vuln

漏洞点如下，新的学生登陆后会在堆上新建一个学生对象，其中对象内存空间的0-0x17字节保存用户名，0x18-0x20保存课程的链表头地址。这里strcpy显然可以通过长用户名覆盖链表地址来控制指针。

1.jpg

2. Leak

开启了Canary+NX保护，首先还是泄露地址。既然已经可以控制链表指针，自然想到通过学生界面的“打印所有课程”来泄露。然而由于这道题的链表结构是带head结构的，因此伪造链表还是需要稍微构造一下的，而本题没有写入全局变量的地方，因此只能先泄露堆地址，然后在堆上布局伪造链表，最终实现泄露libc地址。

2.1 null-byte-overflow泄露堆地址

我们注意到学生的菜单界面会用printf %s打印用户名。一番思索，终于发现可以通过用strcpy结尾的null字节覆盖this->head堆指针的最低位。若当前student对象的堆块起始地址的低位也恰为"\x00"，就可以实现null-byte-overflow一个套路——堆块重叠。

chongdie.png

然后调用选课功能，会向this->head->next写入一个堆地址，堆块重叠后，实际上就是向用户名的8字节之后写入堆地址，printf用户名时就会连带着把堆地址泄露出来。

因此要做的就是使当前student对象的堆块起始地址低位为\x00。通过新建课程和登录新用户来申请数个堆块，若构造得当，则为student对象申请堆块时，起始地址就刚好满足要求：

for i in range(3):
    add_course(p, str(i), char_list[i]*8, "test", "5")
p.sendline("4") #exit
for i in range(6):
    login(p, char_list[i]+"\n", "123456\n")
    p.sendline("5") #exit

2.2 堆上布局伪造链表泄露libc地址

获取堆地址后，通过相对偏移计算可以很容易地得到各个堆块的地址，从而在堆上布局伪造链表，用GOT表地址作为链表数据指针，利用“打印已选课程”功能实现泄露libc地址。

3. Fastbin Attack

3.1 思路

整理一下思路，目前可以通过漏洞点做的事有：

1. 任意地址写qword 0
2. 任意地址写一个堆地址（低位字节可通过2.1的方法控制）
3. 调用diselect功能，结合1.中提到的溢出漏洞点，实现任意地址调用free

思路主要是在GOT表或者malloc_hook、free_hook位置伪造size字段，利用fastbin的double free特性改写fd指针，然后利用fastbin attack分配到伪造的堆块，实现写入got表或malloc_hook、free_hook。由于漏洞利用点比较有限，只能用one_gadget方法拿shell。

由于new的原因，malloc_hook方法无法满足one_gadget的约束，而在got表中发现了比较好的伪造size字段的位置，因此考虑在got表中伪造堆块，然后通过fastbin attack申请出来，并写入one_gadget地址。

3.2 伪造堆块size字段

student对象申请的内存属于0x30大小的fastbin，因此我们伪造的size字段也要是0x3x。利用2.1中的方法，通过申请堆块构造接下来申请到的堆地址的低位。

for i in range(13):
    login(p, char_list2[i]+"\n", "123456\n")
    p.sendline("5")
target_addr = 0x6040d0
login(p, "e"*24+p64(target_addr).replace("\x00","")+"\n", "123456\n")
select(p, "2")
p.sendline("5")

第二步将写入目标位置的堆地址的高位置0，从而构造出一个0x30的size字段。

第三步利用fastbin可以多次释放的特性，进行fastbin double free+fastbin attack

具体地，在堆中构造一个链表，通过控制->next指针将所有要free的指针都放到链表里，之后连续diselect，就可以实现fastbin double free

doublefree.png

三次free后fastbin中的情况：
0x6fc00->0x6fc20->0x6fc00

第四步登录新学生，此时分配的堆块即在got表中的scanf位置，用one_gadget写入。之后程序流程会自然地调用scanf，从而getshell。

思路写起来好像也不多，但限于本人能力花了将近两天时间，脚本写了一百多行。主要还是因为漏洞点太过局限，需要多次在多个堆块中进行布局，以及伪造fake chunk的位置选取限制太多，还有就是one_gadget的约束。

好几次想要放弃，所幸坚持了下来，最终成功解题。