安装KeyPatch插件
参考:IDAPro V7.0中keypatch插件不显示解决办法_yirj的博客-CSDN博客_keypatch。
首先pip install keystone安装。
然后将安装的keystone文件夹移动到IDAPro V7.0/python的目录下,再从keypatch/keypatch.py at master · keystone-engine/keypatch (github.com)目录下复制keypatch.py文件到IDAPro V7.0/plugins下。
实验要求
- 修补逻辑漏洞修补:令程序仅打印与自己性别相对应的话;
- 修补栈溢出漏洞修补:无论输入多长的字符串均不会导致程序崩溃。
实验过程
观察程序,逻辑漏洞来自于直接输出两行,栈溢出漏洞来自于gets函数。
1. 逻辑漏洞
右键输出boy的call _puts,改成nop即可。
2. 栈溢出漏洞
要修改某个函数的漏洞,一般是先在.eh_frame中随意选择一段用来插入补丁代码,将call 函数改成jmp 选择的.eh_frame的起始位置。补丁代码最后包含语句call 函数和jmp 函数调用的下一条指令的地址,这样就能保证跳进再跳回。
在这里,gets函数的地址是0x05A0,调用gets函数的下一条指令的地址是0x0701。我选择插入补丁的位置的起始地址是0x08C2。
修改gets函数的漏洞,我并不清楚应该用什么方法,所以我搜索了一下修补的方案,在这篇知乎文章上找到了说法ctf中关于syscall系统调用的简单分析——常用的修补方法是改用系统调用 read() 函数来替代gets() 函数的功能,因此在补丁代码的最末并不需要调用原函数。
文章中说了read()系统调用在64位系统中是0号,在32位系统中是3号,我的测试环境是64位Linux,因此需要先将eax赋值为0号,再执行syscall。
如下图所示,在调用补丁代码之前,恰好eax被赋值为0。
因此系统调用号已经是0,不用再做修改。补丁代码如下:
mov edx, 0Ah ;设置长度为10,
lea rsi, [rbp-0Bh] ;将字符串地址赋值给rsi
mov rdi, 0
syscall ;系统调用
jmp 0x0701 ;跳回执行流程
右键0x08C2的位置-KeyPatch,由于输入长度限制,先输入mov edx, 0Ah; lea rsi, [rbp-0Bh]; mov rdi, 0; syscall,再单独改jmp 0x0701。
修改完之后,按’C’即可将数据段改成代码段显示出来。
可见补丁代码的部分是0x08C2~0x08D4。
修改完成后Edit-Patch program-Apply patches to input file…,点击确定。
然后再运行一下,可以看到两个漏洞的修补要求都满足了。
(由于隐私原因,我抹除了所有个人信息)
1217
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
