打了一天的国赛，发现自己还是太菜了

pwny

在分析程序时，发现可以通过读取随机数到bss段上作为文件描述符范围，在0~0xff之间。随后，在自定义的函数sub_ba0中发现可以根据偏移进行任意写的操作，sub_b20则允许根据偏移进行任意读操作。这使得我们能够覆盖fd的值，将其设置为0，从而实现在文件描述符上进行任意读写操作。

为了达到这个目的，我们首先需要通过泄露出bss段上的stdout指针来获得_IO_2_1_stdout_的地址，从而推导出libc的基地址。随后，利用data段上的off_202008泄露bss段的地址，进一步通过libc中的environ变量泄露栈地址。通过这些信息，可以将onegadget链写到栈上的返回地址中，获得最终的shell控制。然而，直接使用(exp)函数进行远程调试会被防护措施阻止。解决方案是在二进制程序中直接将fd设置为0，从而方便进行调试。

代码示例如下：

通过上述方法，我们能够成功地获取到libc的基地址、system函数的地址以及最终的binsh地址，从而实现shell控制。这一过程展示了如何在实际编程中应对各种防护机制，并利用细节来实现漏洞利用。

lonelywolf

在处理这个问题时，发现漏洞在dele函数中没有正确清空free后的指针，导致doublefree的问题。一旦触发这个漏洞，可以通过控制tcache_struct和free_cache_struct的count值来泄露libc的基地址。随后，通过修改fd指针的值，利用free_hook和__free_hook-0x8的位置，进一步获取到shell控制。

代码示例如下：

silverwolf

这是一个沙箱堆题，libc版本为2.27。通过仔细分析程序逻辑，发现可以利用heapchunk的可写大小（通常为0x78）来构造rop链。具体来说，利用environ变量将一个chunk申请到栈上，再通过修改返回地址实现控制。这一过程需要注意open函数的实现方式，避免因沙箱效应无法绕过。但在实际操作中，可能需要多次尝试才能找到最优解法。

代码示例如下：