pwnbale.kr [passcode]
Mommy told me to make a passcode based login system.
My initial C code was compiled without any error!
Well, there was some compiler warning, but who cares about that?
ssh passcode@pwnable.kr -p2222 (pw:guest)
查看代码如下
#include <stdio.h>
#include <stdlib.h>
void login(){
int passcode1;
int passcode2;
printf("enter passcode1 : ");
scanf("%d", passcode1);
fflush(stdin);
// ha! mommy told me that 32bit is vulnerable to bruteforcing :)
printf("enter passcode2 : ");
scanf("%d", passcode2);
printf("checking...\n");
if(passcode1==338150 && passcode2==13371337){
printf("Login OK!\n");
system("/bin/cat flag");
}
else{
printf("Login Failed!\n");
exit(0);
}
}
void welcome(){
char name[100];
printf("enter you name : ");
scanf("%100s", name);
printf("Welcome %s!\n", name);
}
int main(){
printf("Toddler's Secure Login System 1.0 beta.\n");
welcome();
login();
// something after login...
printf("Now I can safely trust you that you have credential :)\n");
return 0;
}
常规思想是栈溢出,但是此处的scanf函数的第二个参数少了个 &,导致无法对当前的栈进行操作。查看其他答案后,知道此处应使用GOT表覆写技术修改文件的got表
got表与plt表的知识详见以下博客链接
以及这个链接
ida查看汇编代码
因为连续调用的两个函数,所以两个函数ebp(栈底)应该是相同的,可以通过welcome函数中存在的栈溢出漏洞修改passcode1的值为got表中fflush函数的地址,改为shell的进入代码。
welcome函数的地址
可以看到lea edx, [ebp+var_70]
表示第一个name
的起始地址为ebp+var_70
login函数的地址
可以看到cmp [ebp+var_10], 528E6h
这句话表示了passcode的地址为ebp+var_10
所以起始地址与目的地址差为70h-10h
为60h(十进制96),那么覆盖的值是多少呢?这时要看plt,got表
这张图可以看出我们可以把存有fflush
地址0804A004
的值改为login函数中的shell执行的代码080485E3
代码如下