[原创]由寄存器位数差异引发的漏洞利用-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

kabeor

2020-1-23 10:38

8254

前几天有师傅分享了一道练习题，感觉比较有趣(对我这样的新手来说)，于是想与大家分享一下思路。

以上是16，32，64位寄存器的大小。

可见有一处花指令，先nop掉看逻辑

要求输入小于等于10也就是0xA，否则程序退出。

查看汇编

可以发现

cmp指令的隐含操作为 op1-op2判断是否等于0。因此可触发类似整数溢出的漏洞。

于是如果我们构造 0x1 0000 0009 - 0xa 就会将eax内容变为 0xffff ffff，从而在后面的read name可以读大量字节，造成栈溢出。

使用file命令查看发现程序为静态链接

且程序内有syscall，因此直接使用ret2syscall进行ROP。

对于这道题来说，即可以手工构造给syscall传参，也可以使用 ROPgadget直接生成利用链

直接生成如下

于是利用思路如下：

最后于 2020-1-25 15:44 被kabeor编辑，原因：添加题目附件

上传的附件：

收藏・8

免费・1

支持

最新回复 (3)
BDomne 雪币： 4230 活跃值： (1435) 能力值： (RANK：270 ) 在线值：发帖 53 回帖 157 粉丝 88 关注私信	BDomne 5 2 楼感谢分享，附件里可以上传一下题目 2020-1-25 13:45 0
kabeor 雪币： 6086 活跃值： (1117) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 19 粉丝 13 关注私信	kabeor 3 楼 BDomne 感谢分享，附件里可以上传一下题目[em_1] 已上传 2020-1-25 15:44 0
黑洛雪币： 6124 活跃值： (4651) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 4 楼 mark 2020-1-27 15:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

kabeor

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
BDomne 雪币： 4230 活跃值： (1435) 能力值： (RANK：270 ) 在线值：发帖 53 回帖 157 粉丝 88 关注私信	BDomne 5 2 楼感谢分享，附件里可以上传一下题目 2020-1-25 13:45 0
kabeor 雪币： 6086 活跃值： (1117) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 19 粉丝 13 关注私信	kabeor 3 楼 BDomne 感谢分享，附件里可以上传一下题目[em_1] 已上传 2020-1-25 15:44 0
黑洛雪币： 6124 活跃值： (4651) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 4 楼 mark 2020-1-27 15:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复