scanf忘记加'&'危害有多大? 详解GOT表覆写攻击技术

最新推荐文章于 2024-07-08 14:35:57 发布
最新推荐文章于 2024-07-08 14:35:57 发布
阅读量8.7k 收藏 23
点赞数 10
分类专栏: pwn 知识总结 文章标签: GOT覆写 scanf C语言 pwn 内存攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SmalOSnail/article/details/53247502
版权

前言

初学C语言时,大家有没有遇到过这样的情景?

int a;
scanf("%d",a);

在使用scanf()函数时,忘记加取地址符号&.

结果程序报错,debug了半天,恍然发现,原来是忘记加坑爹的&

本文通过讲解一道pwnable.kr上的got表覆写题目,详细的解读GOT覆写技术,讲一讲scanf不加&到底有多坑。

知识补充

GOT表:

概念:每一个外部定义的符号在全局偏移表(Global offset Table)中有相应的条目,GOT位于ELF的数据段中,叫做GOT段。

作用:把位置无关的地址计算重定位到一个绝对地址。程序首次调用某个库函数时,运行时连接编辑器(rtld)找到相应的符号,并将它重定位到GOT之后每次调用这个函数都会将控制权直接转向那个位置,而不再调用rtld

PLT表:

过程连接表(Procedure Linkage Table),一个PLT条目对应一个GOT条目

main()函数开始,会请求plt中这个函数的对应GOT地址,如果第一次调用那么GOT会重定位到plt,并向栈中压入一个偏移,程序的执行回到_init()函数,rtld得以调用就可以定位printf的符号地址,第二次运行程序再次调用这个函数时程序跳入plt,对应的GOT入口点就是真实的函数入口地址。

动态连接器并不会把动态库函数在编译的时候就包含到ELF文件中,仅仅是在这个ELF被加载的时候,才会把那些动态函库数代码加载进来,之前系统只会在ELF文件中的GOT中保留一个调用地址.

GOT覆写技术:

原理:由于GOT表是可写的,把其中的函数地址覆盖为我们shellcode地址,在程序进行调用这个函数时就会执行shellcode。

以上姿势来源: http://jing0107.lofter.com/post/1cbc869f_8b3d8a5

题目

passcode
题目地址:http://pwnable.kr/

linux下用ssh去连pwnable的服务器,密码是guest

$ ssh passcode@pwnable.kr -p2222

windows下可以用putty去连接

题目源码

source

题目分析

首先这段源代码中3个函数:main()login()welcome()
main()函数中先调用了welcome(),然后调用了login(),剩下的只是打印一些信息,没有卵用。welcome()做的事情是用scanf()获取用户的名字,然后打印它,也没有什么用。所以这题的重点就在于login()函数了。

login()函数中,先后调用scanf()获取用户输入的两个passcode然后分别与33815013371337作比较,如果相等的话,便会打印flag。这程序设计的逻辑似乎没啥问题,但是仔细一看,发现这里:

vul

scanf("%d",passcode1);passcode1没有加取地址符号&

如果scanf没加&的话,程序会默认从栈中读取4个字节的数据当做scanf取的地址

漏洞就发生在这里,我们可以利用上面提到的GOT覆写技术攻击这个程序。

解题思路

将一个GOT表中的函数地址写到栈中,用来充当scanf()取的地址,然后把system("/bin/cat flag")这条指令的地址写到这个GOT表中的函数。

当这个函数被调用时,就会直接执行system("/bin/cat flag")

解题过程

vul1
反汇编一下login()可以看到,fflush()将会在有漏洞的scanf()函数之后被调用,所以我们选择覆写fflush()在GOT表中的内容,让程序执行到上图高亮的地方的时候去执行system("/bin/cat flag")

asm
在上图中还可以找到system("/bin/cat flag")对应汇编代码开始于0x80485e3(这里有两条指令,第一条将参数"/bin/cat flag"入栈,第二条调用system()

也就是说要把0x80485e3这个值写入fflush()

现在查看一下GOT表中fflush()的位置,很多方法可以查看elf文件的GOT表,这里说两个常用的命令:

$ readelf -r target_elf

或者

$ objdump -R target_elf

查询结果如下:
got

fflush()位于0x0804a004

现在我们明确了攻击的方式,以数据0x80485e3覆写位于0x0804a004fflush()函数的GOT表

之后要做的就是在栈中构造这些信息,不难发现welocome()login()使用的是同一个EBP,如图:
ebp1

ebp2

如下图,name位于ebp-0x70,passcode1位于ebp-0x10
wel

ps1

0x70 - 0x10 = 96,也就是说name这个字符串第96个字节后的4字节数据将会被作为passcode1的地址。

最终我们的payload为:
"A" * 96 + p32(fflush_got) + str(0x80485e3)
这里要注意0x80485e3要转换成十进制输入,因为scanf()%d读取数据。

攻击后效果如图:
fin

解题脚本

#!/usr/bin/python 

from pwn import *

target = process('/home/passcode/passcode')

fflush_got = 0x0804a004

system_addr = 0x80485e3

payload = "A" * 96 + p32(fflush_got) + str(system_addr)

target.send(payload)

target.interactive()

More

scanf()如果忘记加取地址符号&,程序就会从栈中选取一个4字节数据充当这个地址,这点可能比较难以理解,下面用GDB展示一下这个过程。

未被攻击

下图是正常情况下(未被攻击) 有漏洞的scanf()函数将参数入栈时的情况:
unchg
栈的情况:
stack_unchg
我们可以看到scanf()的两个参数arg[0] = "%d",arg[1] = 0xffffcfc4
相当于:

scanf("%d",0xffffcfc4);

来看看fflush()执行时的情况:
f1
正常的执行没有什么问题。

被攻击

再看一下我们将fflush()在GOT表中的地址写入栈中时(被攻击),有漏洞的scanf()函数将参数入栈的情况:
chg
栈的情况:
stack_chg
我们可以看到scanf()的两个参数arg[0] = "%d",arg[1] = 0x804a004

原本应该随机取的地址,被我们修改成为了一个特定的值
这时,scanf函数相当于:

scanf("%d",fflush@plt());

现在再来看看fflush()执行时的情况:
f2
已经跳到了某个神奇的地方了:)

TaQini852
关注
专栏目录
C语言链表操作详解
qq_41481924的博客
12-29 14万+
为什么要使用链表 在未学习链表时,我们常用的存储数据的方式无非就是数组。使用数组存储数据的好处就是查询快,但是它的弊端也很明显: 使用前需声明数组的长度,一旦声明长度就不能更改 插入和删除操作需要移动大量的数组元素,效率慢 只能存储一种类型的数据. 而链表则可以实现以上这些数组所不具备的功能,此时引入了结构体来实现创建链表的操作。 链表的特点: n个节点离散分配 每一个节...
scanfscanf_s函数的使用 详解
m0_66557301的博客
06-12 1万+
1.scanf_s(是vs提供的函数)a.代码1 scanf_s有三个参数,最后一个是变量a所占据空间的大小(单位为字节),这里可以写1,也可以写sizeof(a)。如果a为整型的话,第三个参数就为4,或者sizeof(a)。b.代码2 可不要写成 scanf_s(“%c%c”,&a,&b,1,1);这样会出错的c.代码3 注意:如果输入整型数据,scanf函数的里面的sizeof()是在所有取地址的后面,而输入字符,每个取地址后面需要有一个sizeof()d.代码3 注意:输入字符的个数时,一定是比数组的
scanf函数里不加取地址符的后果之一
weixin_65716190的博客
03-16 705
就是scanf函数不加取地址符可能导致的后果之一
scanf 没有(不加)取地址符 & 的情况
weixin_73683794的博客
10-06 1464
for(int i=1;i<=n;i++) scanf("%d",a+i); 之前看到过这种不加取地址符的scanf 刚开始很疑惑,觉得有问题,但我学了指针之后就恍然大悟了。 首先这个a不是变量,而是一个数组,a代表着这个数组的首地址即&a[0]。 其次a+i代表的就是数组中下一个元素的地址即&a[0+i]。 因为本身已经就是地址了,所以就不用取地址
PWN-scanf函数的格式化字符串漏洞利用
最新发布
T_aXin的博客
07-08 1140
栈帧销毁时栈上的数据并不会被清除,只是改变了寄存器rbp和rsp的位置而已,所以栈上还保留了之前printf函数执行时产生的canary,可以通过抬栈的方式将变量v1指向之前产生的canary,然后利用scanf的格式化字符串漏洞和printf函数泄露canary即可。(\x20相当于回车)此时rax与rdi指向的就是变量v1在栈上的分布,其内容就是canary,然后输入字符或字符串使程序识别不到双精度浮点数,所以不会对栈上的数据进行覆盖,然后再用printf函数就可以输出canary的内容了。
scanf后面&与不加&的两种情况
ZY6661234的博客
08-08 6726
因为char是字符串,本身就是地址。这样输入代码就会出错,因为a是变量,所以必须要&表示对应a的地址。而例子中的a是变量,所以需要&
为什么在C语言中,用scanf输入字符串时,不需&
周迪新的博客
01-31 1万+
因为字符串变量名在 scanf 语句里 表示指针 (地址) 例如: char s[80]; scanf(&quot;%s&quot;,s); — 这里的s 已是地址。 当然,写成 scanf(&quot;%s&quot;,&amp;amp;s[0] ); 也可以, &amp;amp;s[0] 是地址。 ...
我这里scanf(%d),然后我输入一个a,为啥没报错呢?
weixin_52634719的博客
11-17 213
C语言
GOT表覆写技术
zszcr的博客
03-22 4637
GOT表:概念:每一个外部定义的符号在全局偏移表(Global offset Table)中有相应的条目,GOT位于ELF的数据段中,叫做GOT段。作用:把位置无关的地址计算重定位到一个绝对地址。程序首次调用某个库函数时,运行时连接编辑器(rtld)找到相应的符号,并将它重定位到GOT之后每次调用这个函数都会将控制权直接转向那个位置,而不再调用rtld。PLT表:过程连接表(Procedure L...
关于scanf()为什么要取&
cookio的博客
10-16 2244
&是地址符,也是指针,在scanf读取的数据为用户输入的字符串组成的数组,因此,除了参数本身为字符串组成的数组的情况下不需要在参数前说明&,其余情况均需要使用&为输入类容分配字符串数组空间。 例如: char a[10]; scanf("%s",a); 这样我们就先创建了一个字符类型的数组,并分配了十字节的长度。 当我们输入A CDEFGHIJK后 在计算机储存中表现如下: "'A'' ''C''D''E''F''G''H''I''\0'" 其中,字符串结束字符.
scanf函数使用方法详解
m0_72536629的博客
12-19 9244
scanf函数使用方法详解
关于C语言取地址运算符”&“
热门推荐
编符侠的极客空间
04-14 2万+
额,个人感觉C语言是门很”硬“的语言,因为它相对其他高级语言更接近硬件底层,而相对于机器指令汇编又跳出了繁琐的底层处理器指令编程。无法理解”&“或者说”地址“、”取地址“,是因为你站在高级(自然语言)语言的层面,而不是机器本身。任何变量都是数据,数据就会在硬件机器上有他的存储空间,存储空间有对应的位置,来方便我们操作这个存储空间,比如内存内存地址。
scanf中输字符串,输入格式符&和不加的区别
weixin_42510813的博客
03-21 2251
首先先创建一个实例来看一下区别 实例如下: 如上图所示,了&后,编译器会作出警告,表示类型不符。也就是说scanf读取的是一个 数组指针的类型,而不是一个字符数组.相当于取得是存放着字符数组地址的指针。就是数组指针类型。 可能理解的不是很到位,欢迎大家提出问题,帮忙补充!谢谢! ...
一招教你scanf什么时候要&,什么时候不用&
qq_73017178的博客
07-13 6691
简单一句话就是:对于本身无法表示地址信息的,要&;本身表示的就是地址信息的,就不需要&
关于scanf的一些注意事项
yyssas的博客
04-05 408
-------------------------------------------------------------------------------------------------------------------------------第三点,如果不按照规定的类型输入会怎么样?第一点,设定的接受变量应以地址的方式出现在scanf内,这是因为scanf本身是一个函数,若不加地址相当于值传递,无法改变对应变量的值。用如下方式,当然,如果不愿意用指针,也可以用如下方式,效果相同。
表变量是什么_GOT表劫持PWN
weixin_39628247的博客
12-08 553
声明:由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,知微安全以及文章作者不为此承担任何责任。知微安全拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经知微安全允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。上次介绍IO FILE的pwn题目时,提到exit函数中,会调用标准...
C语言中使用scanf语句时遇到的问题总结
weixin_30782293的博客
01-18 488
在使用visual studio2013编写c语言代码时,遇到了这样的几个小问题,进行如下的总结。 1, 关于使用scanf语句报错的解决方案1 #include <stdio.h> int main(void) { char ch; printf("Please enter a character.\n"); scanf...
PLT , GOT 介绍及简单 GOT 攻击实验
Re:Umiade.tr
03-26 3959
转载修改自 http://blog.sina.com.cn/s/blog_70dd16910100r1gi.html 第一部分 过程连接表PLT由于程序可以用共享库的方式多次使用同一个函数,所以通过一张表来定义所有的函数是非常有用的。为了能利用这种手段,在编译程序会使用一个专用区域,这个区域称为“过程连接表(PLT)”。 PLT有许多调转指令构成,每一个指令对应一个函数地址的指针。PLT
scanfscanf_s有什么区别?
10-07
scanfscanf_s是C语言中的输入函数,用于从标准输入设备读取数据。它们的区别在于安全性方面。scanf函数在读取字符串时不会进行边界检查,可能导致缓冲区溢出的安全问题。而scanf_s函数则是为了解决这个问题而设计的,它在读取字符串时需要指定最大读取字符数量,并进行边界检查,确保不会导致缓冲区溢出。 举个例子来说明,假设有以下代码片段: ``` char str[10]; scanf("%s", str); ``` 如果用户输入的字符串长度超过了10个字符,那么会导致缓冲区溢出的问题。而使用scanf_s函数,可以通过指定读取的最大字符数量来避免这个问题: ``` char str[10]; scanf_s("%9s", str, sizeof(str)); ``` 在这个例子中,"%9s"表示最多读取9个字符的字符串,确保不会超出str数组的边界。 总结来说,scanf_s相对于scanf具有更好的安全性,可以避免缓冲区溢出的问题。因此,在使用C语言进行编程时,推荐使用scanf_s函数。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TaQini852

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值