本文介绍了如何利用栈溢出漏洞(Buffer Overflow, BOF)通过C语言中的gets函数,结合汇编知识,操控内存,实现进入系统shell。详细解析了代码流程,包括关键汇编指令的作用,以及构造exploit的过程。最终成功运行exp并进入shell,完成了挑战。"
112014587,10538525,勘智K210芯片实战演示:从人脸识别到3D渲染,"['嵌入式开发', 'RISC-V', 'AI芯片', '物联网(IoT)', 'Arduino']
- 审题
先来看题目:
终于要用到我最感兴趣的栈溢出啦,赶紧把两个文件都下下来,先来看C语言文件:
看了这段代码就知道要干嘛了,目标就是利用gets函数的漏洞,通过栈溢出把传入的key值覆盖,来进入系统的shell。
然后把可执行文件用IDA打开,这就要用到汇编知识了,首先查看main函数:
由main函数可见,在参数传递后,跳转到了func函数,再转到func函数看看:
好多汇编知识都忘了,有几行得解释一下(用前面的地址代表行号):
63D:把字符串s,即“overflow me :”的首地址传到esp指向的地址也就是栈顶中,然后下一行调用puts函数,会根据首地址读出字符串然后打印到终端;
649:把ebp-s的地址传给eax,其中s=-2C,十进制s=-44,所以十进制就是把ebp-44的地址传给eax,下一行就把这个值再放到栈顶里,然后再调用gets函数,从键盘读取输入;
654:比较ebp+arg_0,即ebp+8的值与0xcafebabe;
65B:如果不相等,就跳转执行loc_66B的指令,即输出“Nah..”,如果相等,就继续执行下一条指令,即调用系统命令进入shell;
看懂了这些代码,目标就更加明确了。首先,可以知道,在输入时,输入的内容是从ebp-44开始存储的,而最后要比较的内容在ebp+8,输入的内容是自下而上存放的,所以首先要用任意内容填充ebp-44到ebp+8之间52字节的内存,然后再从ebp+8开始存放\xbe\xba\xfe\xca(因为是小端机)。
- 解
可以直接编写exp来验证一下:
from pwn import*
pwn_socket=remote('pwnable.kr',9000)
pwn_socket.sendline('a'*52+'\xbe\xba\xfe\xca')
pwn_socket.interactive()
运行结果如下:
$的出现,说明已经进入了shell,可以通过命令对系统进行操作:
抱着试一试的想法,没想到这次的flag真是可以直接读取的,真省事,这道题就解决了。
- 本章小结
这道题因为涉及到很多汇编的基础知识,很多地方如果展开说会说特别多,我也不一定能说好,所以很多汇编的知识点,比如寄存器和基本指令的功能都没说,但是这样就导致说的有点乱,不太好理解。
有汇编基础的同学可能看着还行,没有汇编基础的同学如果看到了这篇不太理解的话还麻烦再搜一些汇编的基础知识了解一下。
扫一扫
834
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
