写在前面: 这题可以说是非常典型的栈溢出, 非常的基础, 学会这篇文章至少对栈溢出到底在干嘛有了最基本的了解. 写了这么多总算知道为什么教栈溢出的喜欢录视频不喜欢打字了, 面对一点都不懂的小白 (比如我), 打字实在太多了

题目

给了一个pwn2文件, 和一个nc连接地址, 把pwn2文件下载下来.

分析过程

第一步: 确定这是个什么文件

直接用记事本或者notepad++把这个pwn2文件打开, 发现在开头有ELF这三个字母, 这代表一个Linux的可执行文件.
或者在Linux系统下使用file pwn2来获取文件的相关信息, 这里我们可以知道这是一个64位的程序.
64位程序的内存地址是8个字节的, 这点很重要

第二步 : 用IDA打开这个文件(暂时)

这步其实应该是查看文件的保护机制, 但是需要打开Linux虚拟机, 所以我就先用Windows的IDA看看

IDA.PNG

iad2.PNG

• 双击cat flag这行, 看他在什么地方, 进入到下图位置
  
  ida3.PNG
• 然后双击上图红框中的get_shell_, 这里其实已经可以看出,cat flag这串字符是在get_shell_函数里被调用的, 点击后会跳转到get_shell_函数的汇编代码处, 如下图:
  
  ida4.PNG
• 按F5进行反汇编, 可以看到get_shell_的C语言代码, 非常简单, 我们只需要调用该函数将能获取到flag
  
  ida5.PNG
• 查看主函数的利用位置, 直接左边那一栏双击main, 然后F5, 看到main函数的代码:
  
  main.PNG
  
  其中红线的部分的read函数就是我们需要进行溢出的点.因为memset只为s设置了0x30的存储长度, 但是read函数的读取限制为可读取0x100个字符, 这就导致存在溢出的点, 超出0x30长度的内容会覆盖到其他地址

接下来的步骤进入Linux系统进行操作, 我这里用的是kali

第三步: 查看程序运行栈, 寻找溢出地址

先把之前没做的保护机制检查做了, 这步很重要. 如果不先解除保护机制, 什么也做不了, 包括之前用ida查看也可能什么都看不出来
用checksec pwn2查看文件:

checksec.PNG

gdb调试

• 给main函数和get_shell_函数打断点,
  
  设置断点.PNG
  
  用p命令查看函数的入口地址:
  
  函数入口地址.PNG
  
  主要看get_shell_的地址在0x400751
• 用b read给read函数位置打上断点, 用c指令运行到断点, 查看寄存器rbp和rsp的值(分别对应栈帧起始地址和栈顶地址):
  
  reg.PNG
  
  **可以看到rbp-rsp的值刚好等于0x30, 也就是s的长度.

第四步:构造payload

根据上一步已经可以得出s的长度是0x30 , get_shell_函数的入口地址是0x400751, 那么按照s rbp ret的顺序, ret的偏移量应该是从s的位置加上s+rbp, 也就是0x30bytes+8bytes = 56字节,函数的入口地址也应该是8个字节0x00000000 00400751
构造payload:'a'*56 + \x51\x07\x40\x00\x00\x00\x00\x00

构造Python脚本

import pwntools
con = remote('114.116.54.89', 10003)
addr = 0x400751
payload = 'a'*56 + p64(addr)
con.recvline()
con.sendline(payload)
con.interactive()

直接运行就能得到flag了, 别忘记给虚拟机联网

基本原理

• 栈的位置注意栈的整体是从大地址到小地址, 但是在局部, 是从小地址到大地址, 如 : 栈地址是从0x100到0x00, 局部变量s位于0x50, 他的长度是0x10, 那么s的数据存放方式是0x50 0x51 0x52 .....0x5f 0x60, 是从小到大的.
  
  图片.png
• 缓冲区溢出实际上就是改变ret(返回地址)的导向, 在正常的程序中(以汇编的角度来看), 进入一个函数首先会压栈函数的输入参数然后函数的下一条地址, 然后是rbp, 然后是函数内部的局部变量
  
  图片.png
  
  这道题中s是main的局部变量, 因为main没有输入参数, 所以我们覆盖的main的返回地址在栈中的偏移量就是 s的长度+rbp地址的8个字节, 这一点我们可以通过在溢出成功后依然继续执行main剩下的部分, 输出一个"it's so boring", 来说明我们覆盖的不是read函数的返回地址, 而在main函数最后执行结束的时候才执行了get_shell_这个函数, 所以我们覆盖的是main的返回地址, 而get_shell_的返回地址是哪我们暂时是不关心的, 尽管它最后提示这个返回地址导致了错误.

更详细的栈帧内容参考https://www.52pojie.cn/thread-974510-1-1.html

练习

xctf的pwn新手区的level0这个题没记错的和这个题基本上是一样的, 除了最后是自己手动输入cat flag以外, 自己练练就知道到底学会了没.

基础需要

• uLL: unsigned long long,无符号长整型数.
• read(0, &s, 0x100uLL)中,第一个0表示stdin,描述符赋给stdin(描述符0),stdout(描述符1),stderr(描述符2). 该函数表示将读取到的内容按顺序从s地质处开始存储, 最多读取0x100个字符, 未正确使用该函数便会导致程序存在缓冲区溢出漏洞.
  下面这个属于基本功底, 字太多, 自己搜搜学习吧
• 栈帧和栈的结构
• 程序是如何执行的, 怎么使用的栈
• gdb的基本命令
• Python的pwntools模块的基本用法
• 基本存储器的认识, 如rbp, rsp, rax, rdx, r8, r9等等, 了解其代表什么