吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 5959|回复: 12
收起左侧

[原创] pwn小姿势 三&&四

[复制链接]
T_MAC仔 发表于 2017-5-12 15:37
本帖最后由 T_MAC仔 于 2017-5-13 00:33 编辑

http://pwnable.kr/  bof && flagbof
os: kali 64 &&win7 64
toos:gdb—peda插件  IDA64 登陆pwbalble.kr 打开bof 根据英文提示:   

Nana told me that buffer overflow is one of the most common software vulnerability.  Is that true?     

根据提示可获得信息:此题可能跟缓冲区溢出有关:
此时进行查看源代码获取更多信息:bof。c       #include <stdio.h>  #include <string.h>  #include <stdlib.h>  void func(int key){      char overflowme[32];      printf("overflow me : ");      gets(overflowme);   // smash me!      if(key == 0xcafebabe){          system("/bin/sh");      }      else{          printf("Nah..\n");      }  }  int main(int argc, char* argv[]){      func(0xdeadbeef);      return 0;  }  从bof.c中可以提取到的知识点: ####
  • main()函数调用func() 函数传递参数 0xdeadbeef
  • func()函数中包含对数组overflowsme【】 数组的输入 ,接下来就是if(key == 0xcafebabe) 判断是否读取flag文件
  • 由此根据英文提示可以进行猜测就是,利用overflowme[]的溢出输入进行覆盖 key的值为 0xcafebabe进行正确的if判断读取flag文件
过程分析一
下载bof文件,直接拖进kali中 ,利用命令:file bof 查看文件为:

打开windows 7虚拟机,利用ida分析 bof如图:  

使用查看伪代码命令 F5: 此处伪代码对应的是main()函数  :
  
接下来双击func()函数来到func()函数内部:此处伪代码对应func()函数   
  计算需要覆盖的字节数 ####
由此我们可以进行比较出来:a1的地址为 [ebp+8]  s的首地址是 【ebp- 2c】
因此  0x8 + 0x2c = 0x34 = 52d  因为栈区是从高向低生长的,所以此时想覆盖掉 key的值为0xcafebabe 就需要先进行覆盖前面的52个字节  下面通过调试bof文件进行验证此想法。   gdb调试bof
先执行objdump -d bof 进行查看反汇编代码:
  
重点位置已经标注,如相对地址 68a 和调用func()函数 69a等:
接下来进行gdb调试:如图  

上图中我们需关注寄存器EIP eax 关注stack的变化:  接下来利用命令 s 进入func函数:
  

上图中我们输入 aaaaaaaa的值 :  接下来查看栈区内存:

通过对栈区内存的查看我们很容易得到 overflowme首地址与 key 相差52字节。因此我们只需要进行key 值得覆盖即可完成正确读取flag文件分析方法二
复制bof.c的代码进行在kali上进行 编译运行进行调试的时候会发现如下图的情形:

key和 overflowme的首地址相差48字节。这可能跟gcc的版本,操作系统内核等有关。构造payload ####
python -c (print "'A' * 52 + '\xbe\xba\xfe\ca'") -cat | nc pwnable.kr 9000
cat < (python -c (print " '\xbe\xba\xfe\ca'" * 14) - | nc pwnable.kr 9000) 使用cat的原因是:保持stdin opened
  flag
打开后读取英文提示:Papa brought me a packed present! let's open it
根据提示flag文件可能为加壳程序:下载后直接拖进iad  利用命令  F12 + shift 查看字符串发现是:upx加壳
利用kali 命令行  upx -d flag进行脱壳。脱壳后进入ida进行分析  (直接F5 查看伪代码跟踪flag变量也会发现)
直接发现flag = UPX...? sounds like a delivery service :)     

bof.rar

4.47 KB, 下载次数: 9, 下载积分: 吾爱币 -1 CB

免费评分

参与人数 4吾爱币 +10 热心值 +4 收起 理由
Hmily + 8 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
红心J + 1 谢谢@Thanks!
Alonc + 1 + 1 我很赞同!
雫Hao洋洋 + 1 + 1 热心回复!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

poyoten 发表于 2017-5-26 20:41
T_MAC仔 发表于 2017-5-12 23:38
这道题其实首先应该查看一下程序采用啦那种保护

就这道题的开始那个pwn,看不看保护根本没有区别。虽然有canarry,但是function根本不用返回,也就无所谓了
ZVesper 发表于 2017-5-12 16:10
小飞鸟 发表于 2017-5-12 16:23
52lxw 发表于 2017-5-12 16:31
楼主不厚道啊,直接分享不就行了
kato 发表于 2017-5-12 16:38
楼主,没图很容易被删贴的
 楼主| T_MAC仔 发表于 2017-5-12 23:38
这道题其实首先应该查看一下程序采用啦那种保护
zdwseed 发表于 2017-5-13 17:12
直接分享更给力啊
niulaoshi 发表于 2017-5-14 20:55
直接分享才正道,
www52pojiecn 发表于 2017-5-30 19:08
谢谢,今天收获很大
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 13:05

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表