[Toddler's Bottle]-passcode

#include 
#include 

void login(){
    int passcode1;
    int passcode2;

    printf("enter passcode1 : ");
    scanf("%d", passcode1);
    fflush(stdin);

    // ha! mommy told me that 32bit is vulnerable to bruteforcing :)
    printf("enter passcode2 : ");
    scanf("%d", passcode2);

    printf("checking...\n");
    if(passcode1==338150 && passcode2==13371337){
                printf("Login OK!\n");
                system("/bin/cat flag");
        }
        else{
                printf("Login Failed!\n");
        exit(0);
        }
}

void welcome(){
    char name[100];
    printf("enter you name : ");
    scanf("%100s", name);
    printf("Welcome %s!\n", name);
}

int main(){
    printf("Toddler's Secure Login System 1.0 beta.\n");

    welcome();
    login();

    // something after login...
    printf("Now I can safely trust you that you have credential :)\n");
        return 0;   
}

之前一直不能下载文件到本地,今天用了FlashFXP无意间可以下载到本地了 主要@前面的是用户名,之前一直不知道

[Toddler's Bottle]-passcode_第1张图片
image.png

从源代码分析看出来,在scanf的时候passcode1和passcode2没有加地址符号,所以会发现段错误,并且没有输入passcode2的机会,这是因为如果没有用取地址符,程序会使用栈上的数据作为指针存放输入的数据。
所以会发生错误。只能用gdb调试程序

[Toddler's Bottle]-passcode_第2张图片
image.png

首先我们进入welcome函数

[Toddler's Bottle]-passcode_第3张图片
image.png

看到ebp为0xffffcf88

然后调试到准备输入name的地方(gdb中ni是不进入调用函数中 而s是会进入调用函数中),可以看到name的基址为ebp-0x70 ,接着我们同样进入login函数

[Toddler's Bottle]-passcode_第4张图片
image.png

ebp竟然还是0xffffcf88

同样调试到输入passcode1的地方

[Toddler's Bottle]-passcode_第5张图片
image.png

可以发现passcode1的基址是ebp-0x10

那么通过计算我们可以知道name和passcode1相差(0x70-0x10)=0x60即96个字节,所以我们通过name的最后4个字节指定passcode1的指针位置,然后结合scanf输入passcode1内容从而达到对指定地址的任意写

所以我们可以把exit在plt中的地址改成system读取flag的地址

[Toddler's Bottle]-passcode_第6张图片
image.png

通过plt表可知exit的地址为0x0804A018

image.png

而system读取flag函数的地址为0x080485E3 即把0x0804A018的改为0x080485E3,因为scanf的时候用的%d所以要把system的地址转换成十进制 system: 0x080485E3 == 134514147(十进制) , 代码如下:

python -c "print ('a'*96+'\x18\xA0\x04\x08'+'\n'+'134514147\n')" | ./passcode
[Toddler's Bottle]-passcode_第7张图片
image.png

你可能感兴趣的:([Toddler's Bottle]-passcode)