stack2
哈,我又回来了
在借助了诸多wp后终于把这道题弄明白了,记录一下
32位程序,有NX,有Canary。
运行可以发现它可以创建一个存储数字的数组,创建好以后我们可以对其中的数据进行一些基本的操作,ok,接下来开始硬刚IDA
通过观察main函数伪代码我们可以发现上图这个位置有点小问题
这个时对数据进行修改的部分的代码,但可以发现他并没有对v5这个变量进行审查。这代表着什么呢,这代表着我们可以修改数组以及数组后面的任何数据。
ok,接下来来思考如何利用这个点
在左侧的函数栏里我们可以发现一个有意思的函数名“hackhere”,点进去后可以发现里面有我们需要的system(“/bin/sh”),那么思路就很清晰了,我们只要找到一个可以利用的函数,将它的返回值改成我们需要去的地方就行了
纵观全文可以发现能利用的也就main函数了,利用位置也就是上面我们发现有小问题的哪儿。
可以发现那一处是更改数组中元素的值,那么,如果要更改返回位置的话我们就要去计算main函数返回位置距离数组的偏移是多少了。
整个题的难点在我看来就是这儿了,不知道其他师傅怎么弄的,我是费了好半天功夫了(感谢那些写wp的师傅们,辛苦了)…
以下借助faceless师傅的思路和过程
因为程序在一开始会给数组赋初值,并且这个过程是我们可以参与的。
考虑到一般的数组赋值会从首位开始,我们可以猜想,如果我们知道我们写入程序的第一个数据的存储位置是否我们就知道了数组的首地址?
那么首先,我们来求这个地址
程序一开始会给数组赋值,我们来看一下这一块的伪代码和汇编