pwnable.rk [Toddler's Bottle] 5、passcode
最近在学习pwn,做到这个题搜了一些资料,弄了挺长时间,记录一下。
passcode.c代码如下:
#include <stdio.h>
#include <stdlib.h>
void login(){
int passcode1;
int passcode2;
printf("enter passcode1 : ");
scanf("%d", passcode1);//----------------------------------------没有&符号
fflush(stdin);
// ha! mommy told me that 32bit is vulnerable to bruteforcing :)
printf("enter passcode2 : ");
scanf("%d", passcode2);//------------------------------------没有&符号
printf("checking...\n");
if(passcode1==338150 && passcode2==13371337){
printf("Login OK!\n");
system("/bin/cat flag");
}
else{
printf("Login Failed!\n");
exit(0);
}
}
void welcome(){
char name[100];
printf("enter you name : ");
scanf("%100s", name);
printf("Welcome %s!\n", name);
}
int main(){
printf("Toddler's Secure Login System 1.0 beta.\n");
welcome();
login();
// something after login...
printf("Now I can safely trust you that you have credential :)\n");
return 0;
}
查看代码,错误的地方在于使用scanf的时候没有加&,这样做导致变量passcode1,passcode2成为类似指针的变量。
比如下面两种合法的赋值。与下面的代码进行类比,变量passcode1,passcode2就像下面的p指针,可以直接修改变量passcode1,passcode2所指向地址的值。假设passcode1的值为0x61616161,在scanf输入一个数(假设为10),结果就是把地址为0x61616161的数据修改为10.个人认为这里是理解整个做法的关键,之前看的好多分析都没有突出这一点,可能认为太简单了吧 :( 所以在介绍方法之前把这个先说一下,后面就按部就班的做了。
#include <stdio.h>
int main()
{
int a;
int *p = &a;
scanf("%d", p);//指针的赋值
scanf("%d", &a);//整型的赋值
printf("%d", a);
return 0;
}
因为那个网站太慢了,调试的体验也不好,可以先拷到本地进行调试。
scp 是 secure copy 的缩写, scp 是 linux 系统下基于 ssh 登陆进行安全的远程文件拷贝命令。-p:保留原文件的修改时间,访问时间和访问权限。命令如下:
scp -P 2222 passcode@pwnable.kr:/home/passcode/* ./
先查看passcode的保护机制,在栈上使用了 Canary ,可以缓解栈溢出(如果没有栈溢出的保护的话可以像之前的题直接找到变量的位置,把数据写到栈里面)。
checksec passcode
下面对程序进行调试、反汇编(gdb passcode)
先看函数login(disassemble login),主要获取到的信息只要有三个,一个是数据的地址(passcode1的地址是[ebp-0x10],passcode2的地址是[ebp-0xc]);第二个信息是很多函数都有@plt的标志,可以使用GOT表的覆写来完成这个题目;第三个信息是想办法执行到或者直接跳转到system函数这里(地址0x080485ea)就可以获取到想要的flag了。
大致介绍一下plt表和got表(我自己的理解),了解的可以直接跳过。系统在调用函数的时候会为每个函数分配对应的空间,但是为了节约空间,对经常调用的函数(系统提供的函数,如printf、scanf、fflush等等)进行链接,就分配一份空间就可以了,每次调用这个函数都直接跳到那个地址。可以看上面的截图,在+14、+60都调用了printf,它们都call了相同的地址0x8048420.这个位置就是plt表的位置,而plt表会继续跳转到got表的位置。即调用printf函数----->跳转到plt表------>跳转到got表,最后由got表对printf函数进行具体的执行。如下图所示,0x804a000 <printf@got.plt>就是got表的地址。
所以获取flag的大致思路就有了:如下图所示,第一行是正常的执行过程,由于got表的地址是可以获取的,所以要构造一个指针指向plt表跳转的地址即got表的地址,通过指针把got表的地址所指向的内容改为执行system()的地址,那么got表中所执行的内容就从执行printf变成执行system。执行顺序就从1->2->3变成1->2->3'。
在main函数中,welcome()与login(),并且两个函数都不含参数,所以ebp的值是相同的。之前得出passcode1的地址为ebp-0x10,passcode2的地址为ebp-0xc。在welcome()函数中还有一个name参数,去找它的地址。对welcome()进行反汇编(disassemble welcome),得到name的起始地址是0x70。
把它们换成十进制,并简单绘制一下栈的地址模型,注意只有ebp相同时才能把不同函数的内存写在一起。
大致上画了一下,因为有栈溢出的保护,所以在输入name的时候不能影响passcode2。
但是,name最后的四个字节与passcode1的开始4个字节是重合的,所以可以在name的最后4个字节中写入printf()的plt表的地址0x8048420,当login()调用scanf("%d", passcode1)函数时写入执行system()函数的地址0x080485e3
整个login()的执行顺序就变成了如下图所示的顺序,按顺序执行到scanf(passcode1)后的printf后,直接跳转到0x080485e3执行system().
在填充passcode1时记得使用小端序0x8048420-->\x00\xa0\x04\x08,在输入scanf是记得把0x080485e3转为十进制134514147
在本地进行测试,执行下面的命令,好像得到了啥不得了的东西 :)
python -c "print('b'*96 + '\x00\xa0\x04\x08'+'\n'+'134514147'+'\n')" | ./passcode
连接到给的链接,输入上面的命令,可以得到flag。