pwnable中的passcode题目以及GOT表和PLT表初识

最新推荐文章于 2024-07-28 19:58:27 发布
最新推荐文章于 2024-07-28 19:58:27 发布
阅读量791 收藏 1
点赞数
分类专栏: PWNable.kr
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mylyylmy/article/details/79954581
版权

首先解释一下GOT表和PLT表

GOT表是全局函数表(动态函数表,全局函数偏移量表)而PLT表则是局部函数表,GOT表中具有这个程序或者进程引用的所有的数据(包括函数和全局变量),PLT表中则是局部函数的表目,PLT表与GOT表是一一对应的,即PLT表中存储的是GOT表中的相对位置,而GOT表中存储的是函数的真正地址。在程序加载的时候,动态链接器会重定位GOT表中函数得到地址,即达到动态加载的过程。

PLT表与GOT表通过延时绑定,即将过程地址的绑定推迟到第一次调用该函数的时候,为了实现延时绑定,GOT表中的三个位置是特殊的:GOT[0]包含.dynamic段的地址,.dynamic段包含了动态链接器用来绑定过程地址的信息,比如符号的位置和重定位信息;GOT[1]包含动态链接器的标识;GOT[2]包含动态链接器的延迟绑定代码的入口点。GOT的其他表目为本模块要引用的一个全局变量或函数的地址。同样PLT表中有一个位置是特殊的,PLT[0]中保存的是相当于一个函数的一串代码,他跳到动态链接库中执行。每一个数据的PLT表目中的数据是由三部分组成的:第一条指令是跳转到相应的GOT存储的地址值中.第二条指令把函数相应的ID压入栈中,第三条指令跳转到PLT[O]中调用动态链接器解析函数地址,并把函数真正地址存入相应的GOT表目中。GOT表的初始化函数地址是PLT表中的第二条指令的地址,在函数被调用一次之后,GOT表中的函数地址的值就会变为真正的函数地址的值,在下一次调用函数的时候,只会花费一条指令和一个间接的存储器引用。

下面是具体的函数第一次调用的过程

首先是跳转到相应的PLT表中,此时该PLT表中的指令为

0x000001 jmp GOT
0x000002 push id
0x000003 jmp PLT[0]

GOT表中的内容

id:
0x000002

首先是程序执行到jmp GOT  进入GOT表中之后又跳转到0x000002位置即push id处将函数的id压入栈中,接着跳转到jmp PLT[0]的位置执行相应的动态链接库中查找该函数的真实地址的操作,并且把真实地址写入到GOT表中,在下一次调用函数的时候直接就进入GOT表中的相应位置,这是跳转的地址就直接到了真是函数地址的入口处,开始执行相应的代码

 

在执行完6之后GOT表中的id为3的函数的地址就变为函数的真实入口地址

 

再看这个题目

 

查看源代码发现漏洞很明显,scanf函数后面没有加 &所产生的漏洞原理

输入scanf(“%d”,&passcode)时读取的是passcode的地址0x70707070

当输入scanf(“%d”,passcode)时读取的是passcode这个地址的存储内容即0x80808080

如果我们可以控制0x80808080这个内容,那我们就可以利用这个漏洞进行GOT表的覆写

首先是检查一下有没有加壳,发现没有加壳
然后查看是32位的程序

用gdb调试一下程序在各个函数入口处下一个断点运行

我们写入数据存储的地方是0xffffd268   地址为edp-0x70  此时ebp的地址为

其中红色标识的部分是启用了栈溢出保护措施,再继续向下执行

进入到login函数中,发现两者的ebp相同

继续向下看,反编译一下login函数

发现scanf要读取的地址就是ebp-0x10(前面的两个参数从右向左依次压栈),两者ebp地址又相同,也就是scanf要写入的地址会从输入的name变量中读取,这就给了我们控制写入地址的机会

在IDA反编译中也可以看到passcode1的地址

 

 

两者的距离为0x60 即96个字节,最后的四个字节恰好是要写入的地址,那么我们怎么知道哪些地址可以写入呢,答案就是GOT表可以写入,我们可以将scanf后面的函数在GOT表中的真实函数地址写为我们想要执行的函数地址如(system)就可以获得相应的权限或者直接拿到flag

看到后面运行了fflush函数  puts函数  exit函数

这三个函数都可以,我们的目的是通过覆写GOT表在执行完scanf后直接执行system函数

我们看一下函数的地址

选这三个函数都可以,因为都在login中调用,我们选择最近的fflush函数,他的地址为0x0804a004

也就是说我们输入的name字段的最后四位是这个地址

我们再来查找system函数的地址,我们的目的是获取flag,因此要执行的是验证成功之后的system('/bin/bash cat flag')而不是单纯的system函数,他是有参数的于是我们选择地址0x80485e3,参数地址0x80487af

这样playload就出来了
由于scanf输入passcode1时是\d因此我们要先把地址转换为十进制

'a'*96 + '\x00\xa0\x04\x08'+ '\n'+'134514147\n'

连上服务器

python -c print('a'*96 + '\x00\xa0\x04\x08'+ '\n'+'134514147\n') | ./passcode

成功拿到flag

 

 

 

mylyylmy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一篇文章,搞懂 GOT & PLT
qq_43547885的博客
09-21 2011
一篇文章,搞懂 GOT & PLT 一个栗子 以一段很简单的代码为例#include<stdio.h> int main(void){ printf("1st"); printf("2nd"); return 0; } 在 Linux 下,使用 gcc 编译,编译时关闭 ASLR(Address Space Layout Randomization,Linux 叫做 pie)gcc ./test.c -o test -no-pie #-no-pie
【PWN学习】GOT & PLT
Morphy_Amo的博客
12-09 1341
GOTPLT是什么?是怎样工作的?
pwnable-passcode
网安星空
01-30 2694
pwnable.kr是一个经典的CTFPWN方向练习的专业网站,本文记录的题目passcode,主要考察的是函数scanf()的知识点。
GOT PLT
最新发布
m0_57836225的博客
07-28 1043
同时,由于代码段通常是只读的,不能直接修改,而 GOT 位于数据段是可写的,这样就可以在数据段进行地址的存储和修改,而不会违反代码段的访问权限限制。此外,通过使用 PLTGOT 的机制,还可以实现多个进程共享同一个共享对象的代码段,同时保持数据段的独立副本,节省了内存空间。这样,当下次再调用该函数时,从 GOT 获取的就是函数的真实地址,直接跳转到该地址执行函数,而无需再次进行查找和重定位的过程,提高了程序的执行效率。2. 接下来会执行一些特定的指令,例如压栈操作,将一些必要的参数准备好。
pwnable passcode 10pt
龙哥盟
03-18 3万+
题目在ssh passcode@pwnable.kr -p2222 (pw:guest)先看passcode.c:#include <stdio.h> #include <stdlib.h>void login(){ int passcode1; int passcode2; printf("enter passcode1 : "); s
解析Mysql多查询的实现
09-10
,INNER JOIN只返回两个匹配的行,LEFT JOIN返回左的所有行和右匹配的行,RIGHT JOIN反之,而FULL JOIN则返回所有左和右的行,即使没有匹配项。 在实际应用,可能还需要使用聚合函数(如COUNT、...
Touch ID 和 Passcode 框架
04-06
作者venmo,源码VENTouchLock,VENTouchLock 是 Touch ID 和 Passcode 框架,在 Venmo 应用使用。
Touch ID和Passcode框架案例
04-04
源码VENTouchLock,这个源码是Touch ID和Passcode框架案例,Venmo app使用的Touch ID和Passcode框架。VENTouchLock通过Touch ID指纹扫描或者Passcode来获得访问权限。 详细说明:...
mysql多联合查询.pdf
09-30
MySQL创建的基本语句是CREATE TABLE,通过该语句我们可以定义的名称、列以及每列的数据类型。创建时可以指定主键(PRIMARY KEY),这是每条记录的唯一标识符,保证了数据的唯一性。 例如: ```sql ...
passcode_Vc_
10-03
总的来说,“passcode_Vc_”是一款实用的VC++文本加密工具,它的存在提醒我们在数字化时代,保护个人隐私和敏感信息的重要性。通过对这款程序的学习和研究,我们可以更好地理解加密解密的原理,同时也能激发我们对更...
GOTPLT
小气球归来的博客
08-24 157
https://www.jianshu.com/p/0ac63c3744dd
Pwnablepasscode
neuisf的博客
12-15 255
pwnable第一道求助题 前几天开始做pwnable的练习题,前四题比较容易,到了第五题,本机调试可以获取flag,但是,在远程主机上却失败了。 原因:本机某地址可写入而远程主机该地址不可写导致程序异常。 漏洞:源代码passcode.c的第九行,scanf的参数passcode1未初始化且无&符号,导致实际读入的数字写入到了passcode1的值所代的地址,而不是读取到pas...
聊聊Linux动态链接PLTGOT(1)——何谓PLTGOT
热门推荐
海枫的专栏
06-11 3万+
本文从一个具体例子,一步步引出PLTGOT的定义。
Pwn 学习 pltgot
MrTreebook的博客
04-24 737
目录1.简介pltgotpltGOT2.保护机制3.执行顺序 1.简介pltgot plt PLT : 程序链接PLT,Procedure Link Table) GOT GOT : 全局偏移GOT, Global Offset Table) 此处不对概念做解释了 可以点击查看大佬的介绍 在此我以初学者的角度认识pltgot 点击跳转 点击跳转 2.保护机制 开启RELRO 在前面描述的漏洞攻击曾多次引入了GOT覆盖方法,GOT覆盖之所以能成功是因为默认编译的应用程序的重定
passcode - pwnable
SkYe's Blog
08-24 318
passcode - pwnable 本题运用到GOT覆写技术,先摘取一段来自Jing0107关于Linux的GOTPLT的知识: GOT: 概念:每一个外部定义的符号在全局偏移(Global offset Table )有相应的条目,GOT位于ELF的数据段,叫做GOT段。 作用:把位置无关的地址计算重定位到一个绝对地址。程序首次调用某个库函数时,运行时连接编辑器(rtld)找到...
【C++学习记录】函数、链接器与函数的声明和定义、函数默认参数、函数重载、内联函数
gtintesl的博客
09-06 405
函数 定义:编写的代码块,被设计用来执行特定的任务。 函数在类被称作方法(methods) 主要目的:防止大量代码重复。在需要复制粘贴大量代码的地方改为使用函数可提高效率、减少错误。 太多的函数调用会减慢运行速度(非内联(inline)函数时):每次调用函数,编译器产生一个调用指令。 为了调用一个函数,需要为该函数创建一个栈框架(stack frame),将参数、返回地址等推(push)到栈上;然后跳到程序的相应位置,执行那个函数;函数执行完后返回保存在栈上的数据,回到调用函数的地方。 因此反复地调用函数
PWN基础15:GOTPLT
prettyX的博客
07-18 2563
今天来学习GOTPLT 操作系统通常使用动态链接的方法来提高程序运行的效率。在动态链接的情况下,程序加载的时候并不会把链接库所有函数都一起加载进来,而是程序执行的时候按需加载,如果有函数并没有被调用,那么就不会再程序被加载进来。 现代操作系统不允许修改代码段,只能修改数据段,那么GOTPLT就应运而生。 参考 https://zhuanlan.zhihu.com/p/130271689 ...
passcode文件怎么打开
12-02
要打开passcode文件,首先需要确认文件的格式和类型。如果这是一个文本文件,可以使用任何文本编辑器,如记事本、文本编辑器或专业的代码编辑器来打开它。在文件资源管理器或Finder找到该文件,右键单击并选择...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值