pwnable.kr之passcode

时间：2016-05-03 18:21:23 阅读：180 评论：0 收藏：0 [点我收藏+]

标签：

passcode

下载下来的源代码

技术分享

从源代码分析看出来，在scanf的时候passcode1和passcode2没有加地址符号，因此会存在题目中所说的警告。

这道题木一共两个函数，welcome和Login,在welcome中输入了name字符串，然后在Login中输入了passcode1和passcode2，在passcode1=338150（0x528E6）并且passcode2=13371337(0xCC07C9)的时候返回shell，得到flag。

想当然地：

技术分享

竟然发现段错误。什么鬼。于是自己写了一个python脚本(以为是自己输入338150不对，要用python输入十六进制。。。)

后来发现竟然不行。

然后想到，能不能用输入的name去覆盖passcode1和passcode2。但是name和passcode1和passcode2是在两个函数中，因此好像也不行，name输入的地方也没有格式化字符串漏洞。

只有那个scanf函数，passcode1和passcode2没有用取地址符号了。怎么用呢？

这里有个知识点：如果没有用取地址符，程序会使用栈上的数据作为指针存放输入的数据。

接下来就开始调试程序吧

ps: 听说peda很好用，于是乎我也装了一个玩玩，果然，真心好用

先看一下有那些函数。

技术分享

然后welcome下断点，分析welcome函数

技术分享

这里可以看到welcome函数的ebp是0xbffff088，第二个红箭头说明用了GS保护，这两点在后面都会说到。

继续执行

技术分享

在这个地址中是输入name的格式化字符串，那么下面的edx就是name的地址了，先记下来

name : [ebp-x070]

技术分享

看到输入的aa在0xbffff018

继续

技术分享

在这里就会看到，程序对ebp-0xc的地方做了检查，如果和前面的对比一下。就会发现，如果这个地方的值被修改了，就会call stack_chk_fail@plt,从IDA中也可看到

技术分享

继续进入login函数

技术分享

奇怪的事情发生了，login的ebp也是0xbffff088，这不是和开头说的welcome的ebp一样吗？

先记下来，继续

到这里又是一个scanf，ebp-0x10就是passcode1的地址，这里要注意了，既然两个函数的ebp是一样的，那么name和passcode1在一个栈空间内，想到了什么？…

什么也没想到？那就继续

在输入一个passcode1后竟然崩溃了

技术分享

scanf什么时候会崩溃呢？联系前面说的，写scanf函数的时候没有加地址符号，那一定是写到了不可写的地址上（说明这个时候passcode1指向了一个不可写的地址，因为没有初始化嘛！）。那么什么时候这个地址可写呢？

要用到一个知识点了：因为GOT表是可写的。

技术分享

看一下Login函数中，调用了fflush、printf、exit

技术分享

前面说的passcode1和name是在一个栈空间的，计算一下，name和passcode1相差96个字节，所以name后4个字节正好可以覆盖到passcode1。因此可以把passcode1的地址覆盖成fflush或者printf或者exit的地址，然后利用scanf函数把system的地址覆写过去。这样等调用fflush或者printf或者exit的就调用成了system。（可以调用system函数的原因是，linux没有对code段进行随机化）

思路明确了，接下来就是找地址了。

从IDA中看GOT区域，可以看到利用system直接读flag的地址：080485E3

技术分享