0x0 程序保护和流程
保护:
流程:
main()
存在一个问题,如果输入的数字个数过大会在输入数字的时候将栈中的数据覆盖。
0x1 利用过程
1.这个问题其实跟栈溢出差不多,题目又给出了libc,所以可以通过泄露libc的基地址计算出system函数的地址和/bin/sh字符串的地址。
2.因为buf在接收字符串之前没有清空里面可能存在垃圾数据,并且read函数输入的字符串不会加’\x00’进行截断所以可以通过buf泄露栈中的数据。
在输入’aaa\n’后可以看到栈中还有很多数据,可以通过输入0x1c*'a’泄露libc中的地址。
3.利用方式需要向栈中写入数据,但是题目由开启了canary,所以需要绕过canary。查看canary存放的位置。
在esp+0x7c的位置存放canary。但是并没有任何方式泄露canary的值。通过查看大佬的文章得知当我们输入+或-符号,scanf会跳过输入。通过调试发现canary是第25个数据。
所以此时只需要输入+或-就可以完成绕过。
4.通过上述分析可以得出利用流程,通过buf泄露的地址计算出libc的基地址,之后通过程序的逻辑问题向返回地址处写入system函数的地址完成getshell。
- 泄露libc。
name='a'*0x1c
sh.sendafter('What your name :',name)
sh.recvuntil('a'*0x1c)
libc_base=u32(sh.recv