2019信息安全国赛double详解,小白进！

前言

首先申明，这题我在比赛时没有写出来，今天复现的时候才写出来的。里面涉及到的一些知识点以前没有在意，所以特写一篇解析文章供和我一样的小白吃碎此题，也算是加深知识点的印象。欢迎大家交流。

前期分析

题目名字是double，在没写的时候我先猜测是不是一个UAF或者double free的漏洞。这里给大家分享个小技巧，写堆的题目的时候最好提前把一下函数在IDA里重命名一下。具体方法是用鼠标点一下函数名字然后按n键。下面我们看关键代码。

 if ( qword_4040D8 && !strcmp(*(const char **)(qword_4040D8 + 8), &s2) )
    {
      *ptr = *(_DWORD *)v3 + 1;
      ptr[1] = *(_DWORD *)(v3 + 4);
      *((_QWORD *)ptr + 1) = *(_QWORD *)(v3 + 8);
      *((_QWORD *)ptr + 2) = 0LL;
      *(_QWORD *)(v3 + 16) = ptr;
      qword_4040D8 = (__int64)ptr;
    }

这段代码是出现在new_info功能的函数中的。首先说一下里面的变量。qword_4040D8存放最后一个ptr指针。qword_4040D0存放第一个也就是编号为0的ptr指针,v3存放当前ptr的上一个指针，s2存放我们输入的内容。上面代码的逻辑为，如果qword_4040D8存在并且输入的data和上一个指针的存放的data相同，那么当前ptr和前一个ptr两个指针指向同一片data。到这里大家思路应该就清晰了起来。如果我们输入了两个相同data的info，然后我们delete了一个info，但此时我们还可以通过另外一个info来控制已经free了的堆块上的值。

利用思路

首先是泄露，我们这里可以采用泄露unsorted bin来获得libc基址。具体为