emmmm之前一直在入门windows，好久都没怎么碰linux了，逛大神博客碰到了这道题的wp，拿来复习下。

好像是2015 0CTF的freenote这道题。

先拿来扔进IDA，改好函数名，大致了解程序流程和note结构体。大致是一开始先申请了一个大只堆块用来作为目录，然后每个note占24字节：

+0        inuse

+8        note length

+16      point to note buffer

其中会note的长度经过对齐后作为malloc的参数，用脚本模拟了对齐的逻辑，0对齐还是0，0~0x80对齐为0x80。

漏洞点主要在free的时候没有清掉目录中的项尤其是堆地址。

这样如果申请三个堆块，然后释放掉，这三个堆块将合并为一个大堆块。倘若再申请一个大堆块(大小为三个小堆块之和），大堆块将从原本0号堆块的位置开始，且可以通过目录中的堆地址进行访问，从而可以伪造堆块并进行dword shoot。

0x00 泄露堆地址 & libc

en其实libc基址也可以后面搞，这里有点忘就直接用uaf泄露main_arena然后换算得到libc基址。

堆地址也差不多，创建4个堆然后释放0、2号（其实好像3个也可以，遗忘太可怕），这时候0号堆块fd和bk将指向2号堆块构成双向链表，再用uaf把0号拿回来：

0号堆块被从链表中拆掉后，2号堆块的fd和bk都会指向main_arena+88的位置，再uaf，然后拿到一个堆地址和main_arena+88的地址，相应换算后得到指向0号chunk_list的地址和libc基址。

0x01 伪造chunk & 覆写GOT表

伪造chunk，都是套路，相应的presize和size要写对。

free了2号堆块没问题之后基本就ok了，可以gdb attach一下看目录中原本0号堆块的位置变成了chunk list的地址，接下来对0号note进行edit，用户输入将写入该地址，从而覆盖0号note的指针，继而可以实现任意地址写。

还有一个要注意的也是卡了很久的地方，double free之后目录中chunk0的指针已经被覆盖了，这时如果remalloc的话会出错终止，所以edit的时候必须在后面填充paddings使得长度与create的时候一样，才不会去调用remalloc。

以及第一次edit覆盖的起始位置还要在chunk0指针往前一点，会覆盖掉inuse位和length，要确保inuse仍然是1，然后length可以在第一次edit的时候改小一点，比如emmm，8，接着覆盖掉chunk0指针为atoi的got表地址，然后第二次edit，即向atoi的got表项写入system的实际地址。

回到main函数，我的choice？，输入/bin/sh就好，然后atoi(buff)实际上就是system('/bin/sh')。

遗忘真的是个可怕的朋友。emmm故作帅气的这么说着。

========================================================================

《大明妖孽》很好看，机械键盘深似海。

多陪陪家人很重要。不要总是自作聪明的 “我以为是这样的”。

新年快乐。