pwnable.kr alloca -经验总结

最新推荐文章于 2024-02-18 16:26:29 发布
最新推荐文章于 2024-02-18 16:26:29 发布
阅读量537 收藏
点赞数 1
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43189757/article/details/96311733
版权

本题思路:
按常规方法想在main函数中溢出时不可能的,alloca分配的空间比能输入的字符大小size一直都要大(一开始我还以为size会有个值能大过alloca函数分配的栈空间,搞了半小时后发现我真是傻的不行),那么就无法从size入手
程序中自带callme中可以getshell的函数,所以我们要控制程序的返回地址到这个函数中
g_canary 模拟栈保护机制中的canary, 在分配的栈空间后设置伪canary
*(_DWORD )&buffer[size] = g_canary;
size为正数的情况不可行,那么考虑size为负数的情况,g_canary是我们所能控制的,那么如果能把g_canary写到main函数的ret的地址上就能getshell
接下来寻找有什么地方把g_canary的值写到了栈上
在这里插入图片描述
发现在check_canary 的栈帧中发现了这个操作,那么接下来就要考虑如何控制main的返回值
再观察mani的返回地址发现是存放在ebp+var_4也就是 ebp - 4
在这里插入图片描述
那么接下来就是考虑怎么使
check_canary 中的 ebp(csheck_canary) + var_14(-14h) = ebp(main) - 4
在这里插入图片描述
观察整个流程记录ebp,esp的变化,得到一系列等式:
首先假设
main中的ebp, esp -> ebp_m esp_m
check_canary 的ebp, esp -> ebp_c esp_c
在调用check_canary 函数之前
先调用了alloca函数,
esp_m -= 16( (size + 34)/0x10 )
->sub esp , 0xc
esp_m -= 0xc
-> push eax
esp_m -= 4
->call check_canary(push eip)
esp_m -= 4
进入check_canary 后
-> push ebp
esp_m -= 4
-> mov ebp, esp
ebp_c = esp_m

最后把上面的等式都组合起来
计算ebp_c - 0x14 = ebp_m - 4
得到
esp_m - 16( (size + 34)/0x10 ) - 0xc - 4 - 4 - 4 - 0x14= ebp_m - 4*
esp_m = ebp_m - 8
忽略对齐的话算出来的size大小就是 -82
由于对齐的缘故,只要16*((size + 34)/0x10) ) 的值为**-3**,size的值不为**-82也行
接下来把g_canary** 设置为一个栈的合法地址范围的值就行了
控制了程序的跳转地址之后,由于栈上的地址使随机的,所以把callme函数的地址大量复制到环境变量中,这样多尝试几次就能getshell

写Exp中遇到的问题:

1. 利用pwntools中的函数进行交互的时候使用
p.recvuntil("(byte) : ") 函数 交互过程会被卡住,调试的过程中发现直到执行scanf语句之前printf语句的字符串不会输出, 在执行scanf语句时前面的printf语句的字符串的内容输了出来,不知道解决办法,后来干脆不用recv之类的方法,直接sleep(1) 然后直接发送就行了

2. IDA对alloca 函数的反汇编 有点奇怪
反汇编结果:
在这里插入图片描述
源代码:
在这里插入图片描述
在调试的时候发现即使 size 的值为0,alloca函数还是会分配0x20 个字节的栈空间,原因是反汇编代码中有个固定的值3434/16 * 16的结果一直是2,也就会固定最低分配0x20 栈空间
v3 = alloca(16 * ((size + 34) / 0x10u));
这条语句的作用主要分配栈空间以及对齐

IDA中反汇编结果中的v3retaddr 是源代码中没有的,自己写了个有alloca函数的程序测试了一下,发现 反汇编出来的结果 也有void v3,而且分配的栈空间的起始地址都是赋给v3*的

3. fets函数
fgets函数的size参数为负数时不会读取任何字符,已写程序测试过

4. python中的列表解析:
*e = {str(i): 'a’10 for i in range(10)}

输出结果为:
{‘1’: ‘aaaaaaaaaa’, ‘0’: ‘aaaaaaaaaa’, ‘3’: ‘aaaaaaaaaa’, ‘2’: ‘aaaaaaaaaa’, ‘5’: ‘aaaaaaaaaa’, ‘4’: ‘aaaaaaaaaa’, ‘7’: ‘aaaaaaaaaa’, ‘6’: ‘aaaaaaaaaa’, ‘9’: ‘aaaaaaaaaa’, ‘8’: ‘aaaaaaaaaa’}
for语句前的为表达式,range()的参数使重复这个表达式的次数

5. 在设置g_canary 的值的时候 由于栈的地址是无符号类型的,直接转化为无符号数太大了,可以发送栈地址的负数形式过去比如:

/*选取的栈地址为
0xff8ae044
*/
#include <stdio.h>
#include <unistd.h>
#include <fcntl.h>
#include <stdlib.h>
#include <string.h>

int main(int argc, char *argv[]){
        int a = -7675836;
        printf("%d\n", a);
        printf("%u\n", a);
        printf("%p\n", a);
        return 0;
}

输出为:
-7675836
4287291460
0xff8ae044

原因是一个数可以被当作是正数也可以被当作是负数,取决于定义的类型,不过不管以什么形式输出,二进制码都是一样的

6. pwntools函数中process函数可以设置环境变量
比如本题中的
p = process("./alloca", env = e)

参考的writeup

苍崎青子
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwnable.kralloca
子曰小玖的博客
06-10 721
https://www.anquanke.com/post/id/170288 前言 最近在刷pwnable.kr [Rookiss],题目都好有意思,一其中题alloca虽然分值不高,但分析过程很值得学习。 题目描述 Let me give you a lesson: "How to prevent buffer overflow?" ssh alloca@pwnable....
[pwnable.kr]--alloca
weixin_30394251的博客
08-14 172
0x00: 好久没玩了...去年十月以后就没玩过了TAT 这几天把peach的坑,winafl的坑填了下,就来搞下pwn。 0x01: 这个程序是给了源码的 #include <stdio.h> #include <string.h> #include <stdlib.h> void clear_newlines(){ int c; do{ ...
pwnable.kr】cmd1
weixin_30413739的博客
07-10 99
最近的pwnable都是linux操作系统层面的。 ssh cmd1@pwnable.kr -p2222 (pw:guest) 首先还是下载源代码: #include <stdio.h> #include <string.h> int filter(char* cmd){ int r=0; r += strstr(cmd, "...
pwnable.kr详细通关秘籍(二)
xiaoi123的博客
09-27 761
i春秋作家:W1ngs 原文来自:pwnable.kr详细通关秘籍(二) 0x00 input 首先看一下代码: 可以看到程序总共有五步,全部都满足了才可以得到flag,那我们就一步一步来看 这道题考到了很多linux下的基本操作,参数输入、管道符、进程间通信等知识,推荐大家可以先看看《深入理解计算机系统这本书》,补补基础 1、Step1(argv) if(argc != 10...
pwnable.kr uaf 知识点总结
qq_43189757的博客
06-22 213
1.学到了一个命令 scp -P 2222 uaf@pwnable.kr:/home/uaf/uaf /home/dqy/Desktop 可以远程下载文件到虚拟机中 2.C++类对象内存结构 参考的博客 虽然看了很多但是对C++的虚函数表的不是很理解,现在对虚函数表的认识就是每一个对象如果有虚函数则会有一个虚函数表,其子类会继承基类的虚函数表,并且会有一个vptr指针指向这张虚函数表,如果子类中含...
C语言函数realloc.doc-综合文档
05-22
3. realloc函数与malloc、calloc、free、_alloca函数相似,但realloc函数可以重新分配内存块的大小,而其他函数不能。 realloc函数的应用举例 下面是一个使用realloc函数的示例程序: ```c #include<stdio.h> #...
mp3-player.zip_player
09-20
2. **使用安全的函数**:如C++的`std::vector`或C的`alloca()`,它们能够自动管理内存,防止溢出。避免使用容易引发溢出的旧式C风格函数,如`strcpy()`、`gets()`等。 3. **堆栈保护**:操作系统和编译器可以提供...
AVR.zip_avr_iom1284p.h
09-24
总结来说,这些头文件构成了AVR单片机开发的基础框架,它们提供了与硬件交互、数据处理、错误检查等必需的功能,使得开发者能够高效地编写针对AVR单片机的应用程序。在实际开发过程中,理解和熟练运用这些头文件及其...
tencent-C,C++安全指南.md
09-26
tencent代码安全指南代码规范,C,c++安全指南完整版 # 代码安全指南 面向开发人员梳理的代码安全指南,旨在梳理API... + [1.3 尽量减少使用 _alloca 和可变长度数组](#1.1.3) [1.4 printf系列参数必须对应](#1.1.4)
2019年提交的内容:Pwn2Win CTF 2019标志提交
02-24
2019年提交的内容:Pwn2Win CTF 2019标志提交
alloca的运用
adi_1987的博客
12-05 1836
http://blog.csdn.net/masefee/article/details/6835688 这篇文章是讲alloca实现的原理。 alloca我感觉是个很强大的函数,帮了我一个很大的忙。突然觉得我就是个天才,我们知道,构造一个对象,无非就二种方式,一种形式就是动态构造: class A; A* a=new A(); 对于这种形式,编译器底层可能是这么实现的:
c++编码规范(三)
热门推荐
mct123的专栏
07-24 2万+
5 内存管理安全 规则5.1:禁止引用未初始化的内存 说明:有些函数如malloc分配出来的内存是没有初始化的,可以使用memset进行清零,或者使用calloc进行内存分配,calloc分配的内存是清零的。当然,如果后面需要对申请的内存进行全部赋值,就不要清零了,但要确保内存被引用前是被初始化的。此外,分配内存初始化,可以消除之前可能存放在内存中的敏感信息,避免敏感信息的泄露。 错误示例:
alloca的内存泄漏
认真你就输了
09-16 5591
忘了从什么时候开始,不喜欢在堆上分配内存空间,这种内存需要自己手动释放。原以为使用alloca在栈上分配空间,程序就自动释放了,但还有些细节要注意。 最近使用QNX的PPS服务做IPC通信,pps decoder系列的接口都是传入指针,但decoder只有初始化init接口,而没有create接口。init接口要事先分配出decoder使用的空间。通常,最简单的做法就是定义一个局部变量,然后取地址
alloca() 是什么?为什么不提倡使用它?
Augusdi的专栏
06-06 6540
alloca() 是什么?为什么不提倡使用它? 在调用alloca() 的函数返回的时候, 它分配的内存会自动释放。也就是说, 用alloca 分配的内存在某种程度上局部于函数的“堆栈帧” 或上下文中。 alloca() 不具可移植性, 而且在没有传统堆栈的机器上很难实现。当它的返回值直接传入另一个函数时会带来问题, 如fgets(alloca(100), 100, stdin)。 由于这些原因,
pwnable学习笔记-fsb
will_wind的博客
06-17 1158
这是一道有趣的格式化字符串漏洞(Format string bug)。
alloca 函数
05-12 1280
The answer is right there in the man page (at least on Linux): RETURN VALUE The alloca() function returns a pointer to the beginning of the allocated space. If the allocation causes stack overf
《c专家编程》笔记--alloca函数
TODD911的专栏
04-14 1600
alloca()函数用来在栈中分配size个字节的内存空间,因此函数返回时会自动释放掉空间。alloca函数定义及库头文件如下: /* Allocate a block that will be freed when the calling function exits.  */extern void *alloca (size_t __size) __THROW;   //从栈
PWN学习之格式化字符串及CTF常见利用手法
最新发布
蚁景网安学院
02-18 890
格式化字符串漏洞是一种常见的安全漏洞类型。它利用了程序中对格式化字符串的处理不当,导致可以读取和修改内存中的任意数据。格式化字符串漏洞通常发生在使用 C 或类似语言编写的程序中,其中 printf、sprintf、fprintf 等函数用于将数据格式化为字符串并进行输出。当这些函数的格式字符串参数(比如 %s、%d等)由用户提供时,如果未正确地对用户提供的输入进行验证和过滤,就可能存在格式化字符串漏洞。
2021 红帽杯 pwn parser
yongbaoii的博客
05-11 467
不出意外的全绿。 主函数循环读。 这个地方有个陌生的函数,alloca。 C 语言里有一个 alloca 函数,可以在堆栈上分配一块内存,当前函数退出时,由于系统堆栈指针的调整,这块内存会被自动回收。 alloca 的函数原型是 void * alloca(size_t size); 它的汇编代码很简单,就两句 sub esp,eax mov rax,rsp 他做的就是在栈上开空间,esp减长度,然后地址放在eax中。 alloca中的算式作用是让你的输入的长度对齐,对齐到16字节,.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值