ldd
要看一个一个程序依赖的so文件可以用ldd命令,ldd命令后面必须跟上这个程序的绝对命令,一般先用which找到这个程序的绝对路径
然后再用ldd命令查看。
ldd结果分为三列
第一列:程序依赖库的名字
第二列:系统提供库的名字
第三列:库加载的开始地址
而在pwn中可以多次用ldd命令查看,来判断该程序是否提供了ASLR保护
如图所示
gdb插件peda
在安装插件之前是需要安装gdb的,gdb的安装教程,没有找到国内的源镜像地址,所以很慢
这是一个调试时必不可少的神器,先从github复制到自己的码云仓库再下载。
1.git clone https://gitee.com/sanmuforrest/peda.git ~/peda
2.echo "source ~/peda/peda.py">>~/.gdbinit
题目:int_overflow
题目描述:菜鸡感觉这题无法溢出,真的么?
题目分析:
1.checksec
2.file查看文件
3.ida分析文件
首先查看程序各层级内容
在搜寻的时候我们发现了这个函数what is this(),发现其中包含flag
这里写两个c语言库函数
read():ssize_t read(int fd,void*buf,size_t count)fd为文件描述符,通常为0,每次读出count字节数到缓冲区buf中
write():ssize_t write(int fd,void*buf,size_t count)fad为文件描述符,通常为1,每次写入count字节,需要写入的数据为buf。
strcpy():char *strcpy(char *dest, const char *src) 把src指向的字符串复制到dest中。
可现在的问题是如何调出这个函数,整个函数看起来好像都没有一个合适的注入点。在查看了函数的各层级函数后,发现只有login()里的check_passwd()中的strcpy函数适合作为溢出点,这里将输入的密码s复制到dest中,而s的长度为0x200,dest还有0x14到栈底,满足溢出条件。也就是说为了满足栈溢出(上个随笔),输入的密码s的长度至少为0x14,加上要覆盖栈底的要调用另一个函数的ebp指针0x04,再加上我们需要的函数地址0x04作为返回地址。但这个时候长度是超出if条件距离要求的长度在0x3和0x8之间,但是我们再看在定义passwr_length的时候
用的是_int8类型的变量,而这个变量最多存储256大小的数字,如果这个数字为257,那么其大小就变为1,称为整数溢出。也就是说我们输入passwd的长度在区间256+4~256+8为好,那么这个时候我们的passwd还需要260-(0x18+0x04)——264-(0x18+0x04)长度。
利用上面这些,就可以写我们的payload了,我们取还需要260-(0x18+0x04)长度的passwd。payload=‘a’*(0x14+0x04)+p32(hanshuadd)+'a'*(256+0x4-0x18-0x04)
4.写exp
5.得到结果
491
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
