pwnable.rk [Toddler‘s Bottle] 5、passcode 详细过程
最近在学习pwn,做到这个题搜了一些资料,弄了挺长时间,记录一下。
passcode.c代码如下:
#include <stdio.h>
#include <stdlib.h>void login(){int passcode1;int passcode2;printf("enter passcode1 : ");scanf("%d", passcode1);//----------------------------------------没有&符号fflush(stdin);// ha! mommy told me that 32bit is vulnerable to bruteforcing :)printf("enter passcode2 : ");scanf("%d", passcode2);//------------------------------------没有&符号printf("checking...\n");if(passcode1==338150 && passcode2==13371337){printf("Login OK!\n");system("/bin/cat flag");}else{printf("Login Failed!\n");exit(0);}
}void welcome(){char name[100];printf("enter you name : ");scanf("%100s", name);printf("Welcome %s!\n", name);
}int main(){printf("Toddler's Secure Login System 1.0 beta.\n");welcome();login();// something after login...printf("Now I can safely trust you that you have credential :)\n");return 0;
}
查看代码,错误的地方在于使用scanf的时候没有加&,这样做导致变量passcode1,passcode2成为类似指针的变量。
比如下面两种合法的赋值。与下面的代码进行类比,变量passcode1,passcode2就像下面的p指针,可以直接修改变量passcode1,passcode2所指向地址的值。假设passcode1的值为0x61616161,在scanf输入一个数(假设为10),结果就是把地址为0x61616161的数据修改为10.个人认为这里是理解整个做法的关键,之前看的好多分析都没有突出这一点,可能认为太简单了吧 :( 所以在介绍方法之前把这个先说一下,后面就按部就班的做了。
#include <stdio.h>
int main()
{int a;int *p = &a;scanf("%d", p);//指针的赋值scanf("%d", &a);//整型的赋值printf("%d", a);return 0;
}因为那个网站太慢了,调试的体验也不好,可以先拷到本地进行调试。
scp 是 secure copy 的缩写, scp 是 linux 系统下基于 ssh 登陆进行安全的远程文件拷贝命令。-p:保留原文件的修改时间,访问时间和访问权限。命令如下:
scp -P 2222 passcode@pwnable.kr:/home/passcode/* ./先查看passcode的保护机制,在栈上使用了 Canary ,可以缓解栈溢出(如果没有栈溢出的保护的话可以像之前的题直接找到变量的位置,把数据写到栈里面)。
checksec passcode 
下面对程序进行调试、反汇编(gdb passcode)
先看函数login(disassemble login),主要获取到的信息只要有三个,一个是数据的地址(passcode1的地址是[ebp-0x10],passcode2的地址是[ebp-0xc]);第二个信息是很多函数都有@plt的标志,可以使用GOT表的覆写来完成这个题目;第三个信息是想办法执行到或者直接跳转到system函数这里(地址0x080485ea)就可以获取到想要的flag了。
大致介绍一下plt表和got表(我自己的理解),了解的可以直接跳过。系统在调用函数的时候会为每个函数分配对应的空间,但是为了节约空间,对经常调用的函数(系统提供的函数,如printf、scanf、fflush等等)进行链接,就分配一份空间就可以了,每次调用这个函数都直接跳到那个地址。可以看上面的截图,在+14、+60都调用了printf,它们都call了相同的地址0x8048420.这个位置就是plt表的位置,而plt表会继续跳转到got表的位置。即调用printf函数----->跳转到plt表------>跳转到got表,最后由got表对printf函数进行具体的执行。如下图所示,0x804a000 <printf@got.plt>就是got表的地址。
所以获取flag的大致思路就有了:如下图所示,第一行是正常的执行过程,由于got表的地址是可以获取的,所以要构造一个指针指向plt表跳转的地址即got表的地址,通过指针把got表的地址所指向的内容改为执行system()的地址,那么got表中所执行的内容就从执行printf变成执行system。执行顺序就从1->2->3变成1->2->3'。
在main函数中,welcome()与login(),并且两个函数都不含参数,所以ebp的值是相同的。之前得出passcode1的地址为ebp-0x10,passcode2的地址为ebp-0xc。在welcome()函数中还有一个name参数,去找它的地址。对welcome()进行反汇编(disassemble welcome),得到name的起始地址是0x70。
把它们换成十进制,并简单绘制一下栈的地址模型,注意只有ebp相同时才能把不同函数的内存写在一起。
大致上画了一下,因为有栈溢出的保护,所以在输入name的时候不能影响passcode2。
但是,name最后的四个字节与passcode1的开始4个字节是重合的,所以可以在name的最后4个字节中写入printf()的plt表的地址0x8048420,当login()调用scanf("%d", passcode1)函数时写入执行system()函数的地址0x080485e3
整个login()的执行顺序就变成了如下图所示的顺序,按顺序执行到scanf(passcode1)后的printf后,直接跳转到0x080485e3执行system().
在填充passcode1时记得使用小端序0x8048420-->\x00\xa0\x04\x08,在输入scanf是记得把0x080485e3转为十进制134514147
在本地进行测试,执行下面的命令,好像得到了啥不得了的东西 :)
python -c "print('b'*96 + '\x00\xa0\x04\x08'+'\n'+'134514147'+'\n')" | ./passcode
连接到给的链接,输入上面的命令,可以得到flag。
pwnable.rk [Toddler‘s Bottle] 5、passcode 详细过程相关推荐
- Pwnable之[Toddler's Bottle](一)
Pwnable之[Toddler's Bottle] Pwn挑战地址 1.fd #include <stdio.h> #include <stdlib.h> #include ...
- Pwnable之[Toddler's Bottle](三)--UAF
Pwnable之[Toddler's Bottle]–UAF UAF,use-after-free 顾名思义,就是释放过内存的重利用. 根据操作系统里的内存分配就知道,当分配给的一个代码释放后,如果再 ...
- Pwnable之[Toddler's Bottle](三)--unlink
Pwnable之[Toddler's Bottle](三)–unlink 提示:how can I exploit unlink corruption 我该怎么利用断腐败??? 其实就是如何利用chu ...
- Pwnable之[Toddler's Bottle](三)--memcpy
Pwnable之[Toddler's Bottle](三)–memcpy 提示是: Are you tired of hacking?, take some rest here. Just help ...
- Pwnable之[Toddler's Bottle](三)--asm
Pwnable之[Toddler's Bottle](三)–ASM 提示:我觉得一个黑客应该知道怎么做shellcode 查看代码asm.c的代码 #include <stdio.h> # ...
- Pwnable之[Toddler's Bottle](二)
Pwnable之[Toddler's Bottle](2) Pwn挑战地址 11.coin1 nc 连上. 要你玩一个游戏,游戏的规则是: 你手里拿了几枚金币. 然而,其中有一枚假币. 假币和真币一模 ...
- pwnable 笔记 Toddler's Bottle - passcode
注: 这题涉及到了GOT覆写技术,我更新了一篇讲GOT覆写的文章,以这道题做的例子,讲的比较详细,大家可以参考一下: http://blog.csdn.net/smalosnail/article/d ...
- pwnable 笔记 Toddler's Bottle -passcode
题目 用ssh连接一下 运行一下passcode 竟然发现错误.. 可以发现需要输入 name passcode1 passcode2 再查看一下源代码 这个题一共有两个函数welcome()和log ...
- pwnable.kr [Toddler's Bottle] - uaf
Mommy, what is Use After Free bug? ssh uaf@pwnable.kr -p2222 (pw:guest) 根据提示已经可以知道这里需要我们利用漏洞Use-Afte ...
最新文章
- C#设置当前程序通过IE代理服务器上网
- MetaQ Log4j及服务器配置管理
- python运行外部文件_Python3运行外部.exe文件
- 2014/School_C_C++_A/6/“数独”游戏
- 智能家居 (8) ——智能家居项目整合(网络控制线程、语音控制线程,火灾报警线程)
- oracle数据库连接名是什么,连接到Oracle数据库的几种命名方式
- js实现侧边栏信息展示效果
- SpringBoot分页组件PageHelper介绍及使用
- 特征向量、标签、模型、算法
- 信息类产品检测培训讲义-EN55022
- 超平面是什么?——理解超平面(SVM开篇之超平面详解)
- json文件编辑器android版,json editor手机版下载
- MySQL数据库事务实例(模拟银行转账)
- ultravnc 设置代理_紫竹桥代理记账哪家好详情
- 彻底搞懂js中的this指向
- 更新appid失败,登录用户不是该小程序的开发者
- 霜降后养生,做好“三防”
- sincerit 小乐乐切割方块(规律+思考)
- java读取execle
- Touch ID身份认证