发现开了canary和nx(栈上不可执行)

canary：(函数返回时会检测这个值，如果改变，就会崩溃，可以防止shellcode覆盖返回地址)

nx：防止栈上执行代码

RELRO（表示重定位表只读）

     这里大家多看一下程序，运行一下，就可以知道逻辑了，这个是main函数主体：

简单的意思输入不同的数字，会进入不同的流程

当输入9011时，会进入sub_4008A3这个函数

这里存在栈溢出，因为buf的长度为16个字节，拷贝的长度为0x1000，所以会存在栈溢出，所以当时想到的解题思路就是进入这个分支，栈溢出，覆盖返回地址，直接进入调用system(“/bin/sh”)拿到shell，读取flag（后来由于程序本身的原因是走不通的）。

        继续看，如果进入这个if分支，需要输入的数值和读到的数值一样才行。

fd = open("/dev/urandom", 0); 这个是读取随机数，每次读取的值不一样，然后和我们输入的数值相比较，因为每次都随机，无法预测到随机数，这样永远都猜不到读取到的随机数值，也无法进入if大括号内，无法触发执行qmemcpy触发栈溢出。方法是：这里需要打开1024次，然后再次打开这个设备文件会出错，返回错误，读进去的unk_602068数组也全为0，然后我们输入8个0，判断相等，就可以进入if分支内了。

       再看unk_602080这个全局变量，最后需要布置好数据，而且需要绕过canary，才能覆盖返回地址，那么如何知道canary值呢？

这里提醒一下，每次程序运行的时候canary的值是不一样的，而且，一个程序运行时候所有的canary值都是一样的值。

我们回到主程序：

当输入数值2的时候，会进入这个函数：

会从键盘输入的字符拷贝到这个全局变量中。

当输入1的时候：

       函数的意思是会将输入的字符串拷贝到栈中的buf中，然后输出，这里只能执行一次函数read,puts，不能执行第二次，从这里我们通过利用这个函数可以打印出canary值，直接上gdb调试，进入这个函数。

在0x40a22下断点：输入1，会进入这个函数：

看到canary值，0x4dc9d7e 0x8b445b00,存放在rbp-8的位置，而buf的位置为rpb-0x110，只要puts出0x110-8位置的8个值，就是canary值，前面的buf直接填充可见字符，但是8位的canary值，最低地址为0，会被截断，所以也需要覆盖最低位为0x00替换为可见字符，直接打印后面的7个字符，就可以算出canary值了

     下图为没有读取字符时的buf

通过生成0x110-8 -1个可见字符，这样会打印后面的7位的canary，这里啰嗦一下。

下一步会调用puts进行打印所有可见字符

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课