首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. Pwn
    3. 发新帖
[原创][分享]SECCON 2017 baby_stack
发表于: 2017-12-12 14:44 7652

[原创][分享]SECCON 2017 baby_stack

wx_sw 活跃值
1
2017-12-12 14:44
7652

话说跪求关注博客 40aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0W2M7%4c8%4K9h3&6Y4i4K6u0W2L8h3f1`.

一个简单的缓冲区溢题目,程序由go 语言编写而成,所以并不能直接F5去分析。


程序的main_memcpy存在漏洞,可发生栈溢出

在调试的过程中,我们会发现一个不一样的地方

正常,我们都是rip储存着返回地址,而这确实rsp存储的,这就意味着函数入口时的rsp指向retn地址,下面跟着参数

另外还有一个问题,如果是只是单纯的"A"*192+p64(ret)程序是会报错的,

call main_memcpy结束后,我们可以看到有两条汇编

有两条栈操作,对象分别是name的字符串以及一个name的长度,于是我们构造一个
payload = "B" * 104 + p64(0x0000000000599940) + p64(0x200) + "D" * 8

那么剩下的事情只要构造 rop-chain就行了

思路如下,构造一个read 读入 /bin/sh , 读入地址在bss上,然后构造 execve 去执行 /bin/sh


[培训]科锐软件逆向54期预科班、正式班开始火爆招生报名啦!!!

收藏
免费 1
支持
分享
最新回复 (8)
holing
雪    币: 5676
活跃值: (1303)
能力值: ( LV17,RANK:1185 )
在线值:
发帖
回帖
粉丝
私信
2
师傅有题目吗
2017-12-12 18:09
0
返無歸一
雪    币: 60
活跃值: (494)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
私信
3
题目还没关的样子
2017-12-13 00:43
0
wx_sw
雪    币: 214
活跃值: (244)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
4
holing 师傅有题目吗
题目链接  c0eK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3j5h3&6Q4x3X3g2T1j5h3W2V1N6g2)9J5k6h3y4G2L8g2)9J5c8Y4y4Q4x3V1j5I4L8K6R3K6e0g2m8w2d9b7`.`.
2017-12-14 19:21
0
joshuahxl
雪    币: 359
活跃值: (80)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
5
补充一下,其实这个程序是可以反编译的,问题只是在变量长度的预设上,可以在Option->Compiler将sizeof(int)设置为4就可以了。
2017-12-15 14:08
0
返無歸一
雪    币: 60
活跃值: (494)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
私信
6
joshuahxl 补充一下,其实这个程序是可以反编译的,问题只是在变量长度的预设上,可以在Option->Compiler将sizeof(int)设置为4就可以了。
哇好厉害,你怎麽知道可以这样设置的
2017-12-17 06:07
0
joshuahxl
雪    币: 359
活跃值: (80)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
7
返無歸一 哇好厉害,你怎麽知道可以这样设置的
看报错和官方的解决方案
2017-12-17 12:18
0
聖blue
雪    币: 6818
活跃值: (153)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
不错!
2017-12-17 21:45
0
wx_sw
雪    币: 214
活跃值: (244)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
9
joshuahxl 补充一下,其实这个程序是可以反编译的,问题只是在变量长度的预设上,可以在Option->Compiler将sizeof(int)设置为4就可以了。
666
2017-12-28 13:26
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回