知识点关键字
栈溢出,shellcode拆分+组装
样本
shellcode样本下载
样本来自2018年CSAWCTF的pwn题目shellcode
运行
检查文件,发现有两个可以利用的点:
栈溢出保护未开启;
NX保护未开启,存在RWX段。
$ checksec CSAWCTF-2018-pwn
[*] '/home/fanxinli/pwnSample/CSAWCTF-2018/CSAWCTF-2018-pwn'
Arch: amd64-64-little
RELRO: Full RELRO
Stack: No canary found
NX: NX disabled
PIE: PIE enabled
RWX: Has RWX segments
在linux下启动运行样本程序:
从程序提示和运行结果可以看出,能够获取输入的地方分为三个节点段:node1、node2和initials部分;好像node.next为node1的下一个节点,且地址为node.next部分对应的输出,node.buffer处打印了node1节点的值。
$ ./CSAWCTF-2018-pwn
Linked lists are great!
They let you chain pieces of data together.
(15 bytes) Text for node 1:
a
(15 bytes) Text for node 2:
b
node1:
node.next: 0x7ffc8306ec30
node.buffer: a
What are your initials?
c
Thanks c
gdb调试:
可以发现存在RWX段,且栈所在位置就是。
静态分析
main()
分析:
一个puts函数打印内容,然后是nononode函数,没有明显的漏洞。
nononode() 和 readline()
分析:
这里是主要功能的实现点,有v1、v2、v3、v4四个变量,v3是指针类型,指向v1,也就是说v3的值是v1的地址。
nononode函数中使用了两次readline函数:
在readline函数中,第一个函数getline的第一个参数为NULL,所以该函数会由操作系统分配一个最大的缓冲区,至少1024吧。所以这里有栈溢出,但由于开启了PIE保护,当程序