[CTFHub-技能树]-----House of roman-优快云博客

文章详细描述了一个没有使用libc库的静态编译程序中，如何利用未初始化的指针（UAF）和doublefree漏洞，通过操纵.fini_array表来构造堆溢出，最终实现unlink操作并篡改程序控制流，以获取shell的攻击策略。

检查

这是一道静态编译的题，没有libc库，所以不能用常规的方法来打

在这里插入图片描述

分析:

直接看漏洞点
在这里插入图片描述
这里free之后没有对指针置空，所以存在double free和UAF漏洞。

思路

.fini_array会在程序结束时调用，一般有2个指针，会依次调用，调用完后才会真正退出。
先利用UAF漏洞，把chunk申请到ptr_size处，修改size的大小，构造堆溢出，利用堆溢出，打unlink，把chunk申请到ptr处，最后篡改**.fini_array**的值，拿到shell

利用

先把前面的代码写好

from pwn import *
from LibcSearcher import *

context(log_level='debug',arch='amd64', os='linux')
pwnfile = "./pwn"
#io = remote("challenge-aa33f598e4074e46.sandbox.ctfhub.com",29732)
io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc-2.23_64.so")

s       = lambda data               :io.send(data)
sa      = lambda delim,data         :io.sendafter(delim, data)
sl      = lambda data               :io.sendline(data)
sla     = lambda delim,data         :io.sendlineafter(delim, data)
r       = lambda num=4096           :io.recv(num)
ru      = lambda delims		    :io.recvuntil(delims)
itr     = lambda                    :io.interactive()
uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr)