【pwnable.tw】 seethefile

一开始特别懵的一道题。

main函数中一共4个功能，openfile、readfile、writefile、closefile。

其中，在最后退出时有一个明显的溢出，是scanf("%s",&name);

name位于bss段上，name下面有一个fp用于存储文件指针，可以被覆盖。

再看其他函数：

openfile.只有一个简单的输入并打开，保存文件指针在bss段上的fp变量中：

readfile,从fp所指的文件中每次读取0x18F字节字节到magicbuf中，这个变量也在bss段上。

writefile无法读取含有flag、FLAG、}的字符串，是一个打印函数

由于无法覆盖栈上内容，仅能覆盖bss段上空间，因此想法是覆盖fp指针，通过伪造fp指针进一步利用，这种利用方法在如下文章中已经给出：

http://www.evil0x.com/posts/13764.html

另外一个重要的点在于libc的泄露。

由于linux独特的文件形式存储，文件的内存信息存储与/proc/pid/maps中，这里pid使用self来代替，如下图：

因此libc可以通过该方式泄露。

伪造file指针的过程，可以通过上面的链接中大致了解，最终的步骤是构造file对象的内容，由于最终要执行fclose(fp)，这一函数，而fclose中用户可控的函数指针执行位置在fclose如下位置，

因此必须要使fclose执行到该位置，其决定性作用的是前2个字节，可以通过动态调试来获得，将fclose(fp)，转化为system（fp），而fp的前两个字节有太重要的作用，建议不要动。

可以用'||/bin/sh'的方法执行获得shell。

至于前两个字节的调试，需要通过动态调试fclose的方法一步一步来找。

捷径的方法是用链接中给到用stderr内容来最初构建。

另外，题目中的输入方法是可以输入\x00的，算是个福利吧。

这题是目前做过调试最恶心的一道题没有之一。