Pwnable.tw刷题之Silverbullet破解过程分享

0x00背景介绍

之前加了学校的ctf社团之后开始学习binary方面的知识，跟着教程走完一遍之后学长推荐了pwnable来刷题，这篇文章就是pwnable上silverbullet的详细破解过程。

0x01程序分析

1. main 函数

可以看到程序并没有开启canary, 所以就考虑是否有栈溢出漏洞

2. create_bullet:

可以看到存储输入的字符串长度的变量就在存储输入字符的48个字节的后面一个字节.

3.power_up:

char strncat(char dest, const char*src, size_t n);

DESCRIPTION: strncat函数将src字符串最多前n字节添加到dest字符串的末尾(从dest原来末尾的’x00’开始), 并在添加结束后在末尾补上一个’x00’

经过上面的分析, 我们可以简单地把main函数的栈结构画出来如下, 方便后面分析

0x02 漏洞分析

如果我们先用create_bullet添加40个字节的字符串,

此时字符串长度处的数据为 x1Ex00x00x00(小端序低位存储在地地址处)

再用power_up添加8个字节的字符串, 我们结合power_up代码分析

` if ( ((_DWORD )dest + 12) > 0x2Fu ) ##字符串长度若大于47则不能power_up

return puts(“You can’t power up any more !”);

此时*((_DWORD *)dest + 12 等于 40, 小于0x2f, 然后会调用read_input函数读取8个字节

read_input(&buf, 48 - *((_DWORD *)dest + 12));

再调用strncat拼接两个字符串

strncat(dest, &buf, 48 - *((_DWORD *)dest + 12));

漏洞就发生了, 因为strncat()会在拼接完的字符串后面添加一个’x00’, 于是字符串长度的第一个字节就被覆盖成了’x00’, 字符串长度就变成了0

` v3 = strlen(&buf) + ((_DWORD )dest + 12); ##重新计算新的字符串的长度

printf(“Your new power is : %un”, v3);

((_DWORD )dest + 12) = v3; ##更新字符串长度

再更新之后字符串长度就变成了8, 于是我们可以在此使用power_up函数了~这次最多可以添加40个字节的数据, 完全足够覆盖main函数的ret地址了.

于是现在的思路就是通过栈溢出泄露libc中某个函数的地址(我选择的是read()), 然后根据题目提供的libc获得system和”/bin/sh”的地址, 最后调用system(“/bin/sh”), get_shell之后就拿到flag啦~

在调用strncat之后原来的储存的长度(40)就会被清零, 而函数结束后会变成8, 又可以在后面继续添加了, 于是就可以利用栈溢出覆盖ret地址而得到libc中函数的地址, 进而通过提供的libc得到system的地址和”/bin/sh”的地址, 从而get shell

1. 首先想办法泄露libc地址

我通过栈溢出将main函数deret地址修改为puts的plt地址调用()puts来输出got中read的地址, 从而得到libc中read的地址. 覆盖后栈空间大致如下

而puts()的返回地址被覆盖为main函数的初始地址, 所以拿到libc中read()的地址后又会重新运行main函数, 这次就可以利用的到的libc地址计算出system()和”/bin/sh”的真实地址再次覆盖返回地址调用system(“/bin/sh”)get shell了。

0x03 exp

exp如下:

0x04 收获

1. 本机调试的时候libc用的是/lib32/libc.so.6 2. 寻找libc中的”/bin/sh”时先是用ida中的string, 但是没找到. 之后尝试了一下ROPgadget, 发现很强大, 找了了一个”/bin/sh”和一堆”sh” ROPgadget --binary "./libc.so.6" --string "/bin/sh" 3. 经大佬提醒, 不一定非要”/bin/sh”, “sh”也行, 而且还有$0这种方法, 可能类似格式化字符串, 不过也没找到资料. 有空可以做一下实验, 学习了.